远程访问/vpn 到 Windows Server 2012 生产服务器的最佳实践

一般来说，如果可以的话，您不应该将远程桌面直接暴露在互联网上。使用 VPN 是最好的解决方案，因为它可以减少 VPN 终端设备/软件的攻击面。如果 VPN 不是一个选项，通过 SSH 隧道传输 RDP 当然也是一个可行的解决方案。如果您必须将 RDP 直接暴露在互联网上，您应该真正限制可以通过边缘防火墙或 Windows 防火墙（如果没有）连接的 IP 地址。如果您遇到最坏的情况，即需要整个互联网访问您的 RDP 服务器，您应该在边缘防火墙上限制新的连接尝试，或者，如果这不是一个选项，请查看可以为您限制速率的软件（例如我的 ts_block 脚本）。

VPN 代表虚拟专用网络。它是一种将远程用户和网络安全地连接到内部网络的方法。它通常包括身份验证以及连接加密。

VPN 主要有两种类型：站点到站点和远程访问。站点到站点用于连接整个网络，而远程访问通常用于连接远程用户（即单台机器）。

所以是的，VPN 是实现您想要做的事情的最佳方式。

实际上，您应该在网络边缘（大多数防火墙都有此选项）或 DMZ 内部（如果您拥有更大的基础设施）设置 VPN 端点，并让用户连接到该 VPN 系统。从那里，您可以设置他们可以访问的内容以及如何访问。

更复杂的系统还使用 SSL 连接来为 RDP 或其他远程控制系统建立隧道。它们的工作方式类似，尽管细节会有所不同：用户连接到（通常基于 Web 的）外部接口，然后通过该服务器建立隧道以到达内部机器。

在所有情况下，您都应该直接在生产服务器上设置 VPN 端点，但使用不同的机器。

从那以后，一切都取决于您需要系统有多安全。要求安全性较高的系统的用户连接到 SSL VPN 服务器，使用它连接到“跳转”服务器，然后从那里通过 RDP 连接到最终生产机器的情况并不少见。

如果您想要能够帮助您设置此类事物的产品具体示例，我可以为您提供一些我使用过的参考。

编辑：我知道有 3 种产品可以很好地满足您的特定需求：Citrix Metaframe（昂贵且适合大规模部署，可能不是您想要的）、MS 自己的 remoteApp 系统（不太适合安全部署，坦率地说，可能过于复杂，无法满足您的需要）和 Sophos UMT。

我建议你使用最后一个：它是一个专业的 Linux 防火墙发行版，包含你需要的所有功能。有一个“免费家庭用户”版本，它具有你需要的所有功能。但是，对于商业用途，你需要购买许可证。

如果您愿意在该项目上投入更多时间，您也可以自己在任何 Linux 系统上免费使用 OpenVPN 服务器。