我们在云上运行了多项服务,它们都托管在 Windows Server 2012 R2 上,具有公共 IP 地址和特定端口。
我们的一些客户无法联系到他们,因为由于“某种原因”,他们和我们之间的防火墙之间的端口被切断了。(一些客户在多租户办公室中使用共享的互联网连接,他们无法更改防火墙通信)
好吧,你明白了,我们不可能让所有的防火墙都“允许”通信。
我的客户至少都运行 Windows 7。
在这种情况下,使用 Microsoft(Windows Server)技术的最佳应对解决方案是什么?
最好的是某种隧道通信或 VPN,但客户也应该能够访问他/她的企业资源。
顺便问一下,今天我们使用 IPSec 使用 Windows 防火墙来保护通信,IPSec 隧道对我们来说是一个解决方案吗?
否则,Windows 中是否有一种服务可以在客户端和服务器之间启用某种 VPN,但仅限于给定的一组服务器?
答案1
最好的解决方案是让客户转向他们可以管理的防火墙解决方案,以允许他们访问您的服务。如果做不到这一点,您的下一个最佳选择是在众所周知的端口上提供服务,您可以期望这些端口几乎可以通过每个防火墙进行访问,即 http/https (80/443)。(太棒了,IIS。)
正如评论中指出的那样,尝试设计 VPN 或 IPSec 解决方案来绕过现有防火墙,会假设您能够通过防火墙获得 VPN 或 IPSec 隧道,而我认为没有任何证据支持该假设。
但实际上,如果您的客户无法通过防火墙访问您的服务,那么这完全是他们的问题,超出了您合理控制的范围。