保障應(yīng)用程序集中訪問(wèn)安全新選擇:WindowsServer2008TS網(wǎng)關(guān)
隨著地域跨度的不斷加大，人員數(shù)量的增長(zhǎng)以及組織結(jié)構(gòu)復(fù)雜性的增強(qiáng)，越來(lái)越多的組織機(jī)構(gòu)采用集中的應(yīng)用部署以及管理的方式來(lái)獲得高效的信息流通，這也對(duì)支撐業(yè)務(wù)系統(tǒng)的IT基礎(chǔ)架構(gòu)提出了越來(lái)越高的要求。從WindowsNT4.0TSE到后來(lái)的WindowsServer2000以及WindowsServer2003，微軟向客戶(hù)提供了終端服務(wù)（TerminalService），使用終端服務(wù)，用戶(hù)無(wú)需在本地計(jì)算機(jī)部署應(yīng)用程序，就可以遠(yuǎn)程訪問(wèn)集中部署在終端服務(wù)器上的應(yīng)用程序。同時(shí)利用遠(yuǎn)程桌面服務(wù)，管理員可以遠(yuǎn)程集中管理服務(wù)器。然而由于安全性的一些風(fēng)險(xiǎn)，終端服務(wù)的應(yīng)用受到了制約，這些風(fēng)險(xiǎn)在Windowsserver2008中得到了有效控制。先讓我們來(lái)看一下WindowsServer2008之前，管理員如何來(lái)保護(hù)應(yīng)用服務(wù)器訪問(wèn)安全性的吧。

圖1應(yīng)用程序遠(yuǎn)程訪問(wèn)示意圖
 

如圖一所示，在Windows2003及以前的操作系統(tǒng)中，管理員要提供遠(yuǎn)程用戶(hù)對(duì)內(nèi)網(wǎng)中應(yīng)用服務(wù)器的訪問(wèn)，主要采用兩種模式：
1.使用VPN連接
VPN是被很多用戶(hù)所熟知的的一種遠(yuǎn)程訪問(wèn)方式，它要求遠(yuǎn)程用戶(hù)在訪問(wèn)服務(wù)器之前先建立一個(gè)VPN連接，在客戶(hù)端和服務(wù)器之間建立了一個(gè)虛擬的私有網(wǎng)絡(luò)通道，所有的應(yīng)用訪問(wèn)及數(shù)據(jù)訪問(wèn)均在這個(gè)連接基礎(chǔ)之上完成。盡管這種方案提供了一定的安全性，同時(shí)也比較靈活，但有時(shí)候并不太方便。因?yàn)樵S多公共Internet接入點(diǎn)并沒(méi)有開(kāi)啟PPTP或L2TP通信端口。出差的用戶(hù)一般是通過(guò)酒店的網(wǎng)絡(luò)來(lái)訪問(wèn)Internet的，而這種網(wǎng)絡(luò)有一些也無(wú)法初始化VPN連接。同時(shí)由于使用VPN方式連接時(shí)，所有的應(yīng)用數(shù)據(jù)都會(huì)在網(wǎng)絡(luò)上傳遞，這對(duì)網(wǎng)絡(luò)連接的要求也比較高，網(wǎng)絡(luò)的可用性及帶寬在很多時(shí)候會(huì)制約應(yīng)用程序的實(shí)用。
2.使用終端服務(wù)訪問(wèn)：
管理員比較熟悉的終端服務(wù)訪問(wèn)方式是在防火墻上打開(kāi)TCP端口3389，將從Internet客戶(hù)端上發(fā)來(lái)的請(qǐng)求轉(zhuǎn)發(fā)給本地網(wǎng)絡(luò)中TS服務(wù)器的IP地址。由于終端服務(wù)采用的RDP訪問(wèn)協(xié)議僅僅將服務(wù)器上用戶(hù)的會(huì)話界面的變化信息傳遞給客戶(hù)端，所以RDP協(xié)議對(duì)網(wǎng)絡(luò)的帶寬要求比較低，同時(shí)應(yīng)用程序的相關(guān)數(shù)據(jù)并不會(huì)在網(wǎng)絡(luò)上傳遞，這也保證了數(shù)據(jù)的安全性。
不過(guò)，直接向Internet開(kāi)啟TCP3389端口可能會(huì)導(dǎo)致安全風(fēng)險(xiǎn)，因?yàn)榉?wù)器的暴露，使得用戶(hù)可以直接訪問(wèn)服務(wù)器上所有的資源。而且如果你要將多于一臺(tái)服務(wù)器發(fā)布到Internet，我們還需要多個(gè)公網(wǎng)IP地址，有的管理員采用NAT開(kāi)放3389之外的端口映射到內(nèi)網(wǎng)多個(gè)服務(wù)器上，這雖然減少了公網(wǎng)IP的需求，卻給用戶(hù)的訪問(wèn)帶來(lái)了不便。
為了解決上述問(wèn)題，windowsserver2008中在終端服務(wù)的安全方面作了很大改進(jìn)，其中有一個(gè)新的組件—TS網(wǎng)關(guān)(TSGateway)。它把RDP封裝在HTTPS中(也稱(chēng)為RDPoverHTTPS)，用戶(hù)在訪問(wèn)服務(wù)器時(shí)通過(guò)HTTPS的端口TCP443連接到TS網(wǎng)關(guān)服務(wù)器。TS網(wǎng)關(guān)對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證后，從HTTPS中解壓RDP，然后在端口3389上把連接轉(zhuǎn)發(fā)到目標(biāo)資源。（如下圖所示）。

圖2通過(guò)TSGateway訪問(wèn)遠(yuǎn)程服務(wù)器
 

通過(guò)TS網(wǎng)關(guān)，客戶(hù)端只需要訪問(wèn)端口443即可建立一個(gè)安全的RDP會(huì)話。由于只需要使用一個(gè)端口，RDPoverHTTPS支持那些只允許HTTP和HTTPS出站通信的代理服務(wù)器。我們只需要一個(gè)外網(wǎng)公共IP地址，通過(guò)這個(gè)IP地址即可發(fā)布TS網(wǎng)關(guān)服務(wù)器，用戶(hù)在訪問(wèn)時(shí)也會(huì)由TS網(wǎng)關(guān)服務(wù)器轉(zhuǎn)發(fā)訪問(wèn)到對(duì)應(yīng)的終端服務(wù)器，從而避免了用戶(hù)對(duì)終端服務(wù)器的直接訪問(wèn)，保護(hù)了終端服務(wù)器的安全。
此外，在WindowsServer2008上，管理員可以在TS網(wǎng)關(guān)上對(duì)用戶(hù)先進(jìn)行身份驗(yàn)證，然后根據(jù)驗(yàn)證的結(jié)果允許或阻止用戶(hù)訪問(wèn)本地網(wǎng)絡(luò)中的某臺(tái)(或所有)計(jì)算機(jī)。這些管理設(shè)置可以通過(guò)相關(guān)的策略來(lái)完成。
1.終端服務(wù)連接授權(quán)策略(TSCAP)
管理員可以通過(guò)設(shè)置終端服務(wù)連接授權(quán)策略指定可以訪問(wèn)TS網(wǎng)關(guān)服務(wù)器的用戶(hù)組（或者計(jì)算機(jī)組）。通過(guò)終端服務(wù)連接授權(quán)策略，可以指定可連接到TS網(wǎng)關(guān)服務(wù)器的用戶(hù)或用戶(hù)組，這些用戶(hù)或者用戶(hù)組可以使TS網(wǎng)關(guān)服務(wù)器上的本地帳號(hào)或ActiveDirectory域服務(wù)中的用戶(hù)帳號(hào)（如圖3所示）。

圖3配置TSCAP限定訪問(wèn)的用戶(hù)組
 

管理員還可以使用終端服務(wù)連接授權(quán)策略指定用戶(hù)要訪問(wèn)TS網(wǎng)關(guān)服務(wù)器必須滿(mǎn)足的其他條件。比如，可能要求用戶(hù)使用智能卡通過(guò)TS網(wǎng)關(guān)建立連接。
2.終端服務(wù)資源授權(quán)策略(TSRAP)
管理員可以通過(guò)終端服務(wù)資源授權(quán)策略指定用戶(hù)可以通過(guò)TS網(wǎng)關(guān)連接的內(nèi)部網(wǎng)絡(luò)資源(計(jì)算機(jī)組)。在創(chuàng)建連接授權(quán)策略和資源授權(quán)策略之前，用戶(hù)將不能通過(guò)TS網(wǎng)關(guān)服務(wù)器連接到內(nèi)部網(wǎng)絡(luò)資源。

圖4使用資源授權(quán)策略限制用戶(hù)可以訪問(wèn)的內(nèi)部網(wǎng)絡(luò)資源
 

如上圖所示,管理員可以限定遠(yuǎn)程用戶(hù)可以通過(guò)TS網(wǎng)關(guān)服務(wù)器連接到的內(nèi)部網(wǎng)絡(luò)資源，可以通過(guò)AD域中的計(jì)算機(jī)組或者手工創(chuàng)建的計(jì)算機(jī)組進(jìn)行限定。
需要注意的是，通過(guò)TS網(wǎng)關(guān)服務(wù)器連接到內(nèi)部網(wǎng)絡(luò)的遠(yuǎn)程用戶(hù)至少滿(mǎn)足一個(gè)連接授權(quán)策略和一個(gè)資源授權(quán)策略中指定的條件，將被授予訪問(wèn)網(wǎng)絡(luò)上的計(jì)算機(jī)的權(quán)限。
在TS網(wǎng)關(guān)中還提供了監(jiān)視工具來(lái)幫助管理員監(jiān)視TS網(wǎng)關(guān)的連接狀態(tài)、運(yùn)行狀況和事件。通過(guò)使用TS網(wǎng)關(guān)管理器，可以指定為了進(jìn)行審核要監(jiān)視的事件，如下圖。

圖5監(jiān)視TS網(wǎng)關(guān)運(yùn)行狀況
 

TS網(wǎng)關(guān)的出現(xiàn)，為管理員實(shí)現(xiàn)應(yīng)用程序集中訪問(wèn)提供了一個(gè)新的安全保障。此外在Windowsserver2008中，終端服務(wù)還提供了其他的一些組件，如用于建立終端服務(wù)會(huì)話負(fù)載均衡的TS會(huì)話Booker，方便用戶(hù)從互聯(lián)網(wǎng)訪問(wèn)的TSWeb訪問(wèn)等等，為用戶(hù)在Windowsserver2008下的遠(yuǎn)程訪問(wèn)提供了安全、可靠的訪問(wèn)體驗(yàn)，大家趕快體驗(yàn)吧！

【編輯推薦】

1. Windows server 2008 的Hyper-v為企業(yè)提供的方案
2. 優(yōu)秀的接班人——Windows Server 2008
3. 選擇Windows Server 2008的理由
4. Windows Server 2008組策略安全實(shí)踐手冊(cè)
5. Windows Server 2008理念和規(guī)劃