远程访问/vpn 到 Windows Server 2012 生产服务器的最佳实践

远程访问/vpn 到 Windows Server 2012 生产服务器的最佳实践

我需要从局域网外的远程访问我的生产环境以应对紧急情况。我不希望用户被提示输入远程桌面凭据并尝试猜测用户名和密码。

那我该怎么办?

什么是vpn?它更安全吗?

答案1

一般来说,如果可以的话,您不应该将远程桌面直接暴露在互联网上。使用 VPN 是最好的解决方案,因为它可以减少 VPN 终端设备/软件的攻击面。如果 VPN 不是一个选项,通过 SSH 隧道传输 RDP 当然也是一个可行的解决方案。如果您必须将 RDP 直接暴露在互联网上,您应该真正限制可以通过边缘防火墙或 Windows 防火墙(如果没有)连接的 IP 地址。如果您遇到最坏的情况,即需要整个互联网访问您的 RDP 服务器,您应该在边缘防火墙上限制新的连接尝试,或者,如果这不是一个选项,请查看可以为您限制速率的软件(例如我的 ts_block 脚本)。

答案2

VPN 代表虚拟专用网络。它是一种将远程用户和网络安全地连接到内部网络的方法。它通常包括身份验证以及连接加密。

VPN 主要有两种类型:站点到站点和远程访问。站点到站点用于连接整个网络,而远程访问通常用于连接远程用户(即单台机器)。

所以是的,VPN 是实现您想要做的事情的最佳方式。

实际上,您应该在网络边缘(大多数防火墙都有此选项)或 DMZ 内部(如果您拥有更大的基础设施)设置 VPN 端点,并让用户连接到该 VPN 系统。从那里,您可以设置他们可以访问的内容以及如何访问。

更复杂的系统还使用 SSL 连接来为 RDP 或其他远程控制系统建立隧道。它们的工作方式类似,尽管细节会有所不同:用户连接到(通常基于 Web 的)外部接口,然后通过该服务器建立隧道以到达内部机器。

在所有情况下,您都应该直接在生产服务器上设置 VPN 端点,但使用不同的机器。

从那以后,一切都取决于您需要系统有多安全。要求安全性较高的系统的用户连接到 SSL VPN 服务器,使用它连接到“跳转”服务器,然后从那里通过 RDP 连接到最终生产机器的情况并不少见。

如果您想要能够帮助您设置此类事物的产品具体示例,我可以为您提供一些我使用过的参考。

编辑:我知道有 3 种产品可以很好地满足您的特定需求:Citrix Metaframe(昂贵且适合大规模部署,可能不是您想要的)、MS 自己的 remoteApp 系统(不太适合安全部署,坦率地说,可能过于复杂,无法满足您的需要)和 Sophos UMT。

我建议你使用最后一个:它是一个专业的 Linux 防火墙发行版,包含你需要的所有功能。有一个“免费家庭用户”版本,它具有你需要的所有功能。但是,对于商业用途,你需要购买许可证。

如果您愿意在该项目上投入更多时间,您也可以自己在任何 Linux 系统上免费使用 OpenVPN 服务器。

相关内容