从防火墙后面安全地访问 win2k8 服务器

从防火墙后面安全地访问 win2k8 服务器

这种情况有点特殊,因为我需要使用工作笔记本电脑(win xp,无法安装任何东西)从工作防火墙后面访问桌面(将在 EC2、w2k8 R2 上运行)。我的笔记本电脑上没有 Java,只有工作端口开放 http 和 https。我知道 xp 的 tsclient 不能使用 TS 网关。所以我唯一的选择似乎是加密的 VNC 会话。我找不到任何可以通过 https 处理加密的免费或近乎免费的 VNC 服务器版本。顺便说一句,我确实有提供商提供的 SSL 证书,可以通过 https 进行安全访问。

我尝试在网上搜索了好几次,但这次似乎没有什么对我有用。任何帮助都将不胜感激。

答案1

不太确定您从哪里得到 WinXP 客户端无法连接到 TS 网关的想法。我们以前一直这样做,直到我们用 Win7 替换它们。唯一的要求是您安装了最新版本的软件包MSTSC。如果您正在运行 SP3,您应该拥有最新版本。

无论如何,这听起来很像你试图绕过你的 IT 部门,作为系统管理员,我们并不喜欢在人们试图绕过内部团队的情况下提供帮助。如果这是合法的业务需求,那就去和他们谈谈,他们不会上当。如果他们上当了,你就有更大的麻烦了!

答案2

好吧......鉴于我在我们的公司政策方面遇到同样的问题(甚至作为我工作的地方的系统管理员),并且我的上级明确指示我可以并且应该使用下面的想法来“解决”我们的一些政策限制,我认为分享知识没有坏处。

httphttps不是端口,而是协议。端口有数字。使用的默认端口http是 80(81 和 8080 是比较常见的替代值),默认端口https是 443。没有任何规定说这些协议上的流量不能使用不同的端口,或者不同的协议不能使用这些端口来代替默认协议。

鉴于此,没有什么可以阻止您在其他位置(可能是在家中,也可能是在云实例上)设置 TS/RDP 服务器,该服务器在 RDP 的非标准端口(可能是端口 443)上侦听传入连接,然后尝试通过指示mstsc.exe通过非标准端口(在另一端侦听的相同非标准端口,如此纯假设示例中的 443)从公司防火墙后面连接到它。通过此 RDP 会话,可以控制远程计算机,例如,运行 Java 应用程序与经纪人执行偶尔的交易。或者任何其他能想到的事情。

与企业防火墙限制流量的其他选项一起,这可能实际上有效,也可能无效,但也可能有效。

当然,如果你尝试这样做,你需要确保远程计算机(可能在某人的家里,或在某人的云实例上)已正确锁定,并使用强密码进行保护全部帐户,具有强大的防火墙规则以防止被“黑客入侵”,配置为接受 RDP 连接,配置为侦听所需端口,并且将实际接收入站流量,方法是在其前面的路由器上配置 DMZ 或端口转发规则(如果适用)。当然,如果您指示 TS/RDP 服务器侦听端口 443,请注意它也会尝试提供https流量,但会失败,这将导致https端口 443 上到相关机器的实际流量失败。

如果你想尝试这样的事情,你可以在这里或超级用户寻找如何实现所有这些目标的答案。

相关内容