远程访问(Remote access)是集成的“路由和远程访问”服务的一部分,用来为远程办公人员、外出人员,以及监视和管理多个部门办公室伺服器的系统管理员提供远程网路。
远程访问服务提供的是一种全面的远程系统管理解决方案,可用于配备了 远程访问卡 (DRAC) III、DRAC III/XT、Dell 嵌入式远程访问 (ERA) 控制器或 ERA 选件 (ERA/O) 卡并装有 SNMP 和 CIM 的系统。这些硬体和软体解决方案统称为远程访问控制器 (RAC)。远程访问服务使您可以远程访问未运行的系统,使其儘快启动并运行。远程访问服务还可在系统停机时提供警报通知,并允许您远程重新启动系统。此外,远程访问服务还将记录系统崩溃的可能原因并保存最近一次的崩溃萤幕。
基本介绍
- 中文名:远程访问
- 外文名:Remote access
- 领域:计算机网路
具体套用
有运行 Windows 的计算机和网路连线的用户可以拨号远程访问他们的网路来获得服务,例如档案和印表机共享、电子邮件、计画及 SQL 资料库访问。
用户分类
通常需要进行远程访问的人有两类,一类是系统管理员,另一类是普通的用户。
系统管理员通常需要远程访问企业区域网路的网路设备或伺服器,进行远程配置管理操作。以当前的产品发展来看,大部分企业级的网路设备或伺服器,通常都提供远程配置管理的接口或功能,管理员可以通过telnet、SSH、web GUI乃至远程管理软体终端等方式,从企业网路的WAN侧进入区域网路进行管理维护。
普通用户的远程访问需求,通常是远程办公人员、外出人员,犹其是企业高管等需要经常出差又经常需要操作ERP、CRM、HR等信息化系统,进行查看、审批、提单等操作。在企业信息化不断发展进步的今天,越来越多的此类远程访问需求逐渐成为企业IT管理员关注的焦点。
需求分类
针对普通用户的远程访问需求,较为常见的方式有3种。
第一类是直接开放内部套用系统的连线埠,允许外部IP直接访问,通过套用系统自身的账号验证机制防範非法用户。
第二类是利用Windows Server 2003及更新的版本所提供的terminal service功能,在外部PC上运行windows远程桌面,先连线到区域网路的terminal server,再通过该server代理访问区域网路套用系统。
第三类是採用VPN技术实现与企业区域网路的远程连线,进而在VPN中访问区域网路套用系统。
第一类:开放连线埠方式
直接在防火墙上开放内部套用系统的连线埠。例如某公司ERP系统的套用连线埠是7001~7006,可以在防火墙上配置将7001~7006连线埠转发到区域网路的ERP伺服器IP位址。外出或远程办公人员可以经由访问企业公网IP的7001~7006连线埠,直接进入ERP系统。在通过了ERP系统自身的身份验证之后,就可以进入ERP系统进行操作。
此种方式的实现非常简单,对于技术能力有限,尤其是预算有限的企业,是一种常见的解决方案。但它的威胁也是显而易见的。直接向公网开放ERP伺服器连线埠,会带来网路攻击、黑客入侵等安全风险。尤其在病毒和攻击日益汹涌的今天,这无疑会对内部套用系统以及套用系统服务器的安全构成严重威胁。
第二类:远程桌面技术
windows XP、Vista的所有版本上均集成了远程桌面终端,只需开启套用系统服务器上的terminal service功能,并开放防火墙上的3389连线埠(即远程桌面技术专用连线埠),外出或远程办公人员就可以通过自己PC上的远程桌面终端,连线到套用系统伺服器,进而运行相关的套用系统程式。
这一方案因为windows的普及而变得常见。方案的几个要点是:
1,要通过远程桌面访问套用系统,相当于运行套用系统服务器上的客户端程式,或以terminal server的区域网路PC的身份访问内部套用系统,所生成的档案默认是保存在伺服器端。如需保存在远端PC上,或在远端PC所连线的印表机上进行列印,还需要进一步配置terminal service的磁碟映射功能,以及在伺服器上安装远程印表机驱动程式等较为複杂的设定。
2,远程桌面技术本身需要进行身份验证,比第一类方案多一重验证机制,安全性必然高于第一类方案。
3,外部PC要通过远程桌面连线区域网路伺服器,仍然需要向公网开放3389连线埠,因开放连线埠所导致的伺服器受攻击和入侵的风险依然存在。
4,远程桌面技术本身不对所传输的数据进行加密,如果有人刻意在网路上使用抓包工具,是完全有可能恢复所传输的数据,进而造成本应属于企业内部信息,甚至商业机密的泄露。
市面上已经有部分产品採用远程桌面技术为核心,开发出方便管理维护的远程接入平台软体。其中有些品牌已经可以实现磁碟映射和远程列印,并提供简单的加密功能。安全性和可操作性较windows提供的方案有所提高,但安装步骤较为繁琐。且加密等级较低,存在破解风险。而伺服器3389连线埠的开放所带来的风险依然难以迴避。
第三类:VPN技术
VPN技术的套用同样由来已久,最大的好处在于数据在公网传输都是在VPN加密通道中,相对应的安全性较高。细分起来也有3种主流的VPN技术:PPTP VPN、IPSec VPN以及SSL VPN。
PPTP VPN
PPTP是一种远程拨号技术,windows自带的拨号程式就提供PPTP VPN拨号。用户可以通过预先配置好的账号,通过windows自带的拨号程式,远程拨入企业PPTP VPN网关,获得区域网路IP位址,进而以区域网路PC的身份访问内部套用系统。
PPTP VPN的优势在于技术的普及,windows自带拨号程式使得最终用户无需另行购买安装额外的软体,降低了成本和维护。缺点在于,PPTP协定本身也提供较低等级的加密,为数据在公网上传输提供相应的安全性。但PPTP的加密安全性等级不高,存在被有心人士破解的风险。且用户拨入区域网路后,没有相应的许可权管理,可以访问到任意区域网路资源,不利于内部网路信息安全管理。
IPSec VPN
IPSec VPN以其高达168位的加密安全性,以及核心技术的普及所带来的成本下降,已经成为企业构建跨地域VPN网路的首选方案。任意两个网路之间,只要建立了IPSec VPN,就如同在同一个区域网路内,可以任意传送资料和访问对方的套用系统。
市面上主流品牌的网关路由器通常都支持IPSec VPN功能,该功能也多用于企业总部与分支之间建立跨地域的VPN,连线多个不同地域的区域网路。 IPSec VPN如果用来解决远程访问的需要,必须在远程PC上安装IPSec VPN客户端程式。通常这样的客户端程式都不是免费的,价格从几百块到上千块不等。且客户端的配置通常较为複杂,对于企业一般员工,尤其是企业高管人员,存在一定的技术难度。同样的,IPSec VPN也很难做到许可权管理,只要连通VPN,就可以不受限制的访问任意系统,不利于内部信息安全管理。
SSL VPN
SSL VPN所採用的128位加密技术,同样能够提供高等级的数据传输安全性。且SSL技术普遍内置于各类主流浏览器,一般用户只需要通过https方式进行访问,就可以在SSL加密的通道中传输数据,避免了安装调试的繁琐,也不用额外投入费用。正是由于有着高安全性、套用简便以及低成本的优势,SSL加密技术已经广泛套用与网上银行、线上购物、线上支付等对安全性和移动性要求较高的行业。
对于企业外出或远程办公人员,只需打开浏览器,输入企业SSL VPN入口网址或IP,使用个人的VPN账号登录,就可以进入企业区域网路,访问各类区域网路资源。市面上的SSL VPN产品通常都带有用户许可权管理功能,有的可以针对用户组——例如财务组,行政组等——进行许可权设定,管理组内所有成员允许或禁止访问哪些区域网路资源或套用系统。还有少数产品甚至可以针对每个用户进行许可权设定,以及执行批量设定操作,大大的增强了企业区域网路信息安全管理的可操作性。
方案选择
综合分析,VPN技术在信息传输安全性方面更胜一筹,也逐渐被众多国内的企业所关注。但VPN技术也存在一些不足,尤其是通过VPN使用ERP系统等远程操作,通常对频宽要求较高。频宽不足就意味着漫长的等待。要解决这一问题,最好的方法是採用VPN与远程桌面技术的结合,尤其是SSL VPN+远程桌面技术。
远程桌面
SSL VPN可以保证传输安全性,避免开放伺服器连线埠,同时提供许可权管理。远程桌面技术的特性是只传送画面的变化,理论上每个连线所需频宽仅28.8k,可以大大降低远程操作套用系统对频宽的要求。在SSL VPN通道中使用远程桌面技术,就可以兼收两者所长。
突破限制
远程伺服器电源
只有在伺服器电源实际处于开机状态时,才可能对其进行远程管理,因此必须首先确保远端的电源和后备电源都运作正常。不间断电源 (UPS) 系统是标準配备,在本地公共电力供应中断时可以临时延续供电。UPS电池一般仅能维持几分钟的紧急电力供应——时间只够用来完成伺服器关机过程。
有些伺服器根本不能(或者不允许)关闭。对于这类要求零停机时间的应用程式可用性级别,请考虑在UPS电池耗尽前就能接管供电的替代电力来源: 柴油发电机、当地热电联产设施,诸如太阳能或风力农场或甲烷动力燃料电池组。可以选择一个完全冗余的公共电力提供商和线路,虽然这对于大多数企业而言有些不切实际。
当电源失效时,远程伺服器管理工具并不能帮到你——尤其是电源故障原因是开关面板故障或断路器跳闸的时候。既要安排技术人员远程检查,必要时也需要亲临现场解决问题。
远程联网
必须使用网路才能管理一台远程伺服器,这就需要可靠的网际网路连线,网路流量历经本地服务提供商、区域骨干网和远程服务提供商。任何网路通信的中断都会妨碍对远程伺服器的管理。
远程数据中心的冗余网际网路连线是很常见和有用的。真正的冗余必须使用不同运营商的不同线路才能形成。任何冗余网际网路提供商必须包括线路冗余 ;许多组织只是与不同的网际网路提供商签订契约,却让多家提供商共用相同的物理线路,这种冗余是不够格的。
可以部署拨号网际网路连线供紧急使用,但通过拨号线路进行远程伺服器管理是一项挑战,甚至对最有经验的管理员也一样。
考虑雇用技工,在远程站点当地维护内部网路。一名技术员可以找到导致连线问题的失效路由器,现场发现内部网路适配器或交换机连线埠问题。这些(物理上的)问题都不是远程管理工具能修复的。