圖1 應(yīng)用程序遠(yuǎn)程訪問示意圖

如圖一所示，在Windows 2003及以前的操作系統(tǒng)中，管理員要提供遠(yuǎn)程用戶對內(nèi)網(wǎng)中應(yīng)用服務(wù)器的訪問，主要采用兩種模式：

1.使用VPN連接

VPN是被很多用戶所熟知的的一種遠(yuǎn)程訪問方式，它要求遠(yuǎn)程用戶在訪問服務(wù)器之前先建立一個VPN連接，在客戶端和服務(wù)器之間建立了一個虛擬的私有網(wǎng)絡(luò)通道，所有的應(yīng)用訪問及數(shù)據(jù)訪問均在這個連接基礎(chǔ)之上完成。盡管這種方案提供了一定的安全性，同時也比較靈活，但有時候并不太方便。因?yàn)樵S多公共Internet接入點(diǎn)并沒有開啟PPTP或L2TP通信端口。出差的用戶一般是通過酒店的網(wǎng)絡(luò)來訪問Internet的，而這種網(wǎng)絡(luò)有一些也無法初始化VPN連接。同時由于使用VPN方式連接時，所有的應(yīng)用數(shù)據(jù)都會在網(wǎng)絡(luò)上傳遞，這對網(wǎng)絡(luò)連接的要求也比較高，網(wǎng)絡(luò)的可用性及帶寬在很多時候會制約應(yīng)用程序的實(shí)用。

2.使用終端服務(wù)訪問：

管理員比較熟悉的終端服務(wù)訪問方式是在防火墻上打開TCP端口3389，將從Internet客戶端上發(fā)來的請求轉(zhuǎn)發(fā)給本地網(wǎng)絡(luò)中TS服務(wù)器的IP地址。由于終端服務(wù)采用的RDP訪問協(xié)議僅僅將服務(wù)器上用戶的會話界面的變化信息傳遞給客戶端，所以RDP協(xié)議對網(wǎng)絡(luò)的帶寬要求比較低，同時應(yīng)用程序的相關(guān)數(shù)據(jù)并不會在網(wǎng)絡(luò)上傳遞，這也保證了數(shù)據(jù)的安全性。

不過，直接向Internet開啟TCP 3389端口可能會導(dǎo)致安全風(fēng)險，因?yàn)榉?wù)器的暴露，使得用戶可以直接訪問服務(wù)器上所有的資源。而且如果你要將多于一臺服務(wù)器發(fā)布到Internet，我們還需要多個公網(wǎng)IP地址，有的管理員采用NAT開放3389之外的端口映射到內(nèi)網(wǎng)多個服務(wù)器上，這雖然減少了公網(wǎng)IP的需求，卻給用戶的訪問帶來了不便。

為了解決上述問題，windows server 2008 中在終端服務(wù)的安全方面作了很大改進(jìn)，其中有一個新的組件—TS 網(wǎng)關(guān)(TS Gateway)。它把RDP封裝在HTTPS中(也稱為RDP over HTTPS)，用戶在訪問服務(wù)器時通過HTTPS的端口TCP 443連接到TS 網(wǎng)關(guān)服務(wù)器。TS網(wǎng)關(guān)對客戶端進(jìn)行身份驗(yàn)證后，從HTTPS中解壓RDP，然后在端口3389上把連接轉(zhuǎn)發(fā)到目標(biāo)資源。（如下圖所示）。

圖2 通過TS Gateway 訪問遠(yuǎn)程服務(wù)器

通過TS 網(wǎng)關(guān)，客戶端只需要訪問端口443即可建立一個安全的RDP會話。由于只需要使用一個端口，RDP over HTTPS支持那些只允許HTTP和HTTPS出站通信的代理服務(wù)器。我們只需要一個外網(wǎng)公共IP地址，通過這個IP地址即可發(fā)布TS 網(wǎng)關(guān)服務(wù)器，用戶在訪問時也會由TS 網(wǎng)關(guān)服務(wù)器轉(zhuǎn)發(fā)訪問到對應(yīng)的終端服務(wù)器，從而避免了用戶對終端服務(wù)器的直接訪問，保護(hù)了終端服務(wù)器的安全。

此外，在Windows Server 2008 上，管理員可以在TS網(wǎng)關(guān)上對用戶先進(jìn)行身份驗(yàn)證，然后根據(jù)驗(yàn)證的結(jié)果允許或阻止用戶訪問本地網(wǎng)絡(luò)中的某臺(或所有)計(jì)算機(jī)。這些管理設(shè)置可以通過相關(guān)的策略來完成。

1.終端服務(wù)連接授權(quán)策略 (TS CAP)

管理員可以通過設(shè)置終端服務(wù)連接授權(quán)策略指定可以訪問 TS 網(wǎng)關(guān)服務(wù)器的用戶組（或者計(jì)算機(jī)組）。通過終端服務(wù)連接授權(quán)策略，可以指定可連接到 TS 網(wǎng)關(guān)服務(wù)器的用戶或用戶組，這些用戶或者用戶組可以使TS 網(wǎng)關(guān)服務(wù)器上的本地帳號或 Active Directory 域服務(wù)中的用戶帳號（如圖3所示）。

圖3 配置TS CAP限定訪問的用戶組

管理員還可以使用終端服務(wù)連接授權(quán)策略指定用戶要訪問 TS 網(wǎng)關(guān)服務(wù)器必須滿足的其他條件。比如，可能要求用戶使用智能卡通過 TS 網(wǎng)關(guān)建立連接。

2.終端服務(wù)資源授權(quán)策略 (TS RAP)

管理員可以通過終端服務(wù)資源授權(quán)策略指定用戶可以通過 TS 網(wǎng)關(guān)連接的內(nèi)部網(wǎng)絡(luò)資源(計(jì)算機(jī)組)。在創(chuàng)建連接授權(quán)策略和資源授權(quán)策略之前，用戶將不能通過TS網(wǎng)關(guān)服務(wù)器連接到內(nèi)部網(wǎng)絡(luò)資源。

圖4 使用資源授權(quán)策略限制用戶可以訪問的內(nèi)部網(wǎng)絡(luò)資源

如上圖所示,管理員可以限定遠(yuǎn)程用戶可以通過TS網(wǎng)關(guān)服務(wù)器連接到的內(nèi)部網(wǎng)絡(luò)資源，可以通過AD域中的計(jì)算機(jī)組或者手工創(chuàng)建的計(jì)算機(jī)組進(jìn)行限定。

需要注意的是，通過 TS 網(wǎng)關(guān)服務(wù)器連接到內(nèi)部網(wǎng)絡(luò)的遠(yuǎn)程用戶至少滿足一個連接授權(quán)策略和一個資源授權(quán)策略中指定的條件，將被授予訪問網(wǎng)絡(luò)上的計(jì)算機(jī)的權(quán)限。

在TS 網(wǎng)關(guān)中還提供了監(jiān)視工具來幫助管理員監(jiān)視TS 網(wǎng)關(guān)的連接狀態(tài)、運(yùn)行狀況和事件。通過使用 TS 網(wǎng)關(guān)管理器，可以指定為了進(jìn)行審核要監(jiān)視的事件，如下圖。

圖5 監(jiān)視TS 網(wǎng)關(guān)運(yùn)行狀況

TS 網(wǎng)關(guān)的出現(xiàn)，為管理員實(shí)現(xiàn)應(yīng)用程序集中訪問提供了一個新的安全保障。此外在Windows server 2008中，終端服務(wù)還提供了其他的一些組件，如用于建立終端服務(wù)會話負(fù)載均衡的TS會話Booker，方便用戶從互聯(lián)網(wǎng)訪問的TS Web訪問等等，為用戶在Windows server 2008下的遠(yuǎn)程訪問提供了安全、可靠的訪問體驗(yàn)，大家趕快體驗(yàn)吧！

hanrui