远程访问——用户分类
通常需要进行远程访问的人有两类,一类是系统管理员,另一类是普通的用户。
系统管理员通常需要远程访问企业内网的网络设备或服务器,进行远程配置管理操作。以当前的产品发展来看,大部分企业级的网络设备或服务器,通常都提供远程配置管理的接口或功能,管理员可以通过telnet、SSH、web GUI乃至远程管理软件终端等方式,从企业网络的WAN侧进入内网进行管理维护。
普通用户的远程访问需求,通常是远程办公人员、外出人员,犹其是企业高管等需要经常出差又经常需要操作ERP、CRM、HR等信息化系统,进行查看、审批、提单等操作。在企业信息化不断发展进步的今天,越来越多的此类远程访问需求逐渐成为企业IT管理员关注的焦点。
远程访问的分类
开放端口方式
直接在防火墙上开放内部应用系统的端口。例如某公司ERP系统的应用端口是7001~7006,可以在防火墙上配置将7001~7006端口转发到内网的ERP服务器IP地址。外出或远程办公人员可以经由访问企业公网IP的7001~7006端口,直接进入ERP系统。在通过了ERP系统自身的身份验证之后,就可以进入ERP系统进行操作。
此种方式的实现非常简单,对于技术能力有限,尤其是预算有限的企业,是一种常见的解决方案。但它的威胁也是显而易见的。直接向公网开放ERP服务器端口,会带来网络攻击等安全风险。尤其在病毒和攻击日益汹涌的今天,这无疑会对内部应用系统以及应用系统服务器的安全构成严重威胁。
远程访问——VPN技术
VPN技术的应用同样由来已久,其好处在于数据在公网传输都是在VPN加密通道中,相对应的安全性较高。
PPTP VPN
PPTP是一种远程拨号技术,windows自带的拨号程序就提供PPTP VPN拨号。用户可以通过预先配置好的账号,通过windows自带的拨号程序,远程拨入企业PPTP VPN网关,获得内网IP地址,进而以内网PC的身份访问内部应用系统。
PPTP VPN的优势在于技术的普及,windows自带拨号程序使得用户无需另行购买安装额外的软件,降低了成本和维护。缺点在于,PPTP协议本身也提供较低等级的加密,为数据在公网上传输提供相应的安全性。但PPTP的加密安全性等级不高,存在风险。且用户拨入内网后,没有相应的权限管理,可以访问到任意内网资源,不利于内部网络信息安全管理。
远程访问——远程联网
必须使用网络才能管理一台远程服务器,这就需要可靠的互联网连接,网络流量历经本地服务提供商、区域骨干网和远程服务提供商。任何网络通信的中断都会妨碍对远程服务器的管理。
远程数据中心的冗余互联网连接是很常见和有用的。真正的冗余必须使用不同运营商的不同线路才能形成。任何冗余互联网提供商必须包括线路冗余 ;许多组织只是与不同的互联网提供商签订合同,却让多家提供商共用相同的物理线路,这种冗余是不够格的。
可以部署拨号互联网连接供紧急使用,但通过拨号线路进行远程服务器管理是一项挑战,甚至对有经验的管理员也一样。
考虑雇用技工,在远程站点当地维护内部网络。一名技术员可以找到导致连接问题的失效路由器,现场发现内部网络适配器或交换机端口问题。这些(物理上的)问题都不是远程管理工具能修复的。