我将设置一台运行 Windows Server 2012 和 Hyper-V 的专用服务器。我想设置某种 VPN,以阻止来自公共互联网的 RDP 访问(即,您必须先建立 VPN 才能通过 RDP 访问服务器)。
我知道 Windows Server 有实现此目的的选项,例如 rras 和 direct access,而 forefront(一个选项)可以实现此目的(我认为)。这些选项都可行吗?
答案1
好吧,我可能应该指出,VPN 不会阻止访问,而是在网络之间建立隧道。防火墙会阻止对端口/服务的访问,例如 RDP。
就我个人而言,我从来就不喜欢在 Windows 机器上运行某种远程访问的想法,因为这违反了我的“每个机器一个服务的规则”。
传统方法是获取 ASA(或您选择的安全设备)并将其设置在服务器前面。然后,您可以在您的机器上设置 Windows 防火墙,以仅接受来自 VPN DHCP 池范围内的 IP 的 RDP 连接。
答案2
按照你提议的方式做确实不会有什么好处,但如果你真的想这样做,那么只需在服务器自己的防火墙上阻止来自本地网络外部的 RDP 即可。当有人通过 VPN 连接时,他们将处于内部网络中,除非该子网与服务器所在的子网不同,否则他们将能够正常使用 RDP,否则请设置规则以允许来自该子网的 RDP。
答案3
我会将 Linux 机器放在网络边缘,并在其上配置 SSHD(SSH 守护进程)。锁定其他所有东西,以便只有端口 22 可访问。然后,您可以使用 SSH 客户端(例如 Putty)连接到您的 SSHD 机器(完全加密),并将您的 RDP 流量(使用 SSH 的内置隧道功能)隧道传输到您的目标服务器。瞧!穷人的 VPN。