保障應用程序集中訪問安全新選擇: Windows Server 2008 TS 網關
保障應用程序集中訪問安全新選擇:WindowsServer2008TS網關
隨著地域跨度的不斷加大,人員數量的增長以及組織結構復雜性的增強,越來越多的組織機構采用集中的應用部署以及管理的方式來獲得高效的信息流通,這也對支撐業務系統的IT基礎架構提出了越來越高的要求。從WindowsNT4.0TSE到后來的WindowsServer2000以及WindowsServer2003,微軟向客戶提供了終端服務(TerminalService),使用終端服務,用戶無需在本地計算機部署應用程序,就可以遠程訪問集中部署在終端服務器上的應用程序。同時利用遠程桌面服務,管理員可以遠程集中管理服務器。然而由于安全性的一些風險,終端服務的應用受到了制約,這些風險在Windowsserver2008中得到了有效控制。先讓我們來看一下WindowsServer2008之前,管理員如何來保護應用服務器訪問安全性的吧。
圖1應用程序遠程訪問示意圖
如圖一所示,在Windows2003及以前的操作系統中,管理員要提供遠程用戶對內網中應用服務器的訪問,主要采用兩種模式:
1.使用VPN連接
VPN是被很多用戶所熟知的的一種遠程訪問方式,它要求遠程用戶在訪問服務器之前先建立一個VPN連接,在客戶端和服務器之間建立了一個虛擬的私有網絡通道,所有的應用訪問及數據訪問均在這個連接基礎之上完成。盡管這種方案提供了一定的安全性,同時也比較靈活,但有時候并不太方便。因為許多公共Internet接入點并沒有開啟PPTP或L2TP通信端口。出差的用戶一般是通過酒店的網絡來訪問Internet的,而這種網絡有一些也無法初始化VPN連接。同時由于使用VPN方式連接時,所有的應用數據都會在網絡上傳遞,這對網絡連接的要求也比較高,網絡的可用性及帶寬在很多時候會制約應用程序的實用。
2.使用終端服務訪問:
管理員比較熟悉的終端服務訪問方式是在防火墻上打開TCP端口3389,將從Internet客戶端上發來的請求轉發給本地網絡中TS服務器的IP地址。由于終端服務采用的RDP訪問協議僅僅將服務器上用戶的會話界面的變化信息傳遞給客戶端,所以RDP協議對網絡的帶寬要求比較低,同時應用程序的相關數據并不會在網絡上傳遞,這也保證了數據的安全性。
不過,直接向Internet開啟TCP3389端口可能會導致安全風險,因為服務器的暴露,使得用戶可以直接訪問服務器上所有的資源。而且如果你要將多于一臺服務器發布到Internet,我們還需要多個公網IP地址,有的管理員采用NAT開放3389之外的端口映射到內網多個服務器上,這雖然減少了公網IP的需求,卻給用戶的訪問帶來了不便。
為了解決上述問題,windowsserver2008中在終端服務的安全方面作了很大改進,其中有一個新的組件—TS網關(TSGateway)。它把RDP封裝在HTTPS中(也稱為RDPoverHTTPS),用戶在訪問服務器時通過HTTPS的端口TCP443連接到TS網關服務器。TS網關對客戶端進行身份驗證后,從HTTPS中解壓RDP,然后在端口3389上把連接轉發到目標資源。(如下圖所示)。
圖2通過TSGateway訪問遠程服務器
通過TS網關,客戶端只需要訪問端口443即可建立一個安全的RDP會話。由于只需要使用一個端口,RDPoverHTTPS支持那些只允許HTTP和HTTPS出站通信的代理服務器。我們只需要一個外網公共IP地址,通過這個IP地址即可發布TS網關服務器,用戶在訪問時也會由TS網關服務器轉發訪問到對應的終端服務器,從而避免了用戶對終端服務器的直接訪問,保護了終端服務器的安全。
此外,在WindowsServer2008上,管理員可以在TS網關上對用戶先進行身份驗證,然后根據驗證的結果允許或阻止用戶訪問本地網絡中的某臺(或所有)計算機。這些管理設置可以通過相關的策略來完成。
1.終端服務連接授權策略(TSCAP)
管理員可以通過設置終端服務連接授權策略指定可以訪問TS網關服務器的用戶組(或者計算機組)。通過終端服務連接授權策略,可以指定可連接到TS網關服務器的用戶或用戶組,這些用戶或者用戶組可以使TS網關服務器上的本地帳號或ActiveDirectory域服務中的用戶帳號(如圖3所示)。
圖3配置TSCAP限定訪問的用戶組
管理員還可以使用終端服務連接授權策略指定用戶要訪問TS網關服務器必須滿足的其他條件。比如,可能要求用戶使用智能卡通過TS網關建立連接。
2.終端服務資源授權策略(TSRAP)
管理員可以通過終端服務資源授權策略指定用戶可以通過TS網關連接的內部網絡資源(計算機組)。在創建連接授權策略和資源授權策略之前,用戶將不能通過TS網關服務器連接到內部網絡資源。
圖4使用資源授權策略限制用戶可以訪問的內部網絡資源
如上圖所示,管理員可以限定遠程用戶可以通過TS網關服務器連接到的內部網絡資源,可以通過AD域中的計算機組或者手工創建的計算機組進行限定。
需要注意的是,通過TS網關服務器連接到內部網絡的遠程用戶至少滿足一個連接授權策略和一個資源授權策略中指定的條件,將被授予訪問網絡上的計算機的權限。
在TS網關中還提供了監視工具來幫助管理員監視TS網關的連接狀態、運行狀況和事件。通過使用TS網關管理器,可以指定為了進行審核要監視的事件,如下圖。
圖5監視TS網關運行狀況
TS網關的出現,為管理員實現應用程序集中訪問提供了一個新的安全保障。此外在Windowsserver2008中,終端服務還提供了其他的一些組件,如用于建立終端服務會話負載均衡的TS會話Booker,方便用戶從互聯網訪問的TSWeb訪問等等,為用戶在Windowsserver2008下的遠程訪問提供了安全、可靠的訪問體驗,大家趕快體驗吧!
【編輯推薦】
