我需要从远程访问我的生产环境,在局域网之外进行紧急处理。 我不希望用户提示远程桌面credencials并尝试猜测用户名和密码。
那我该怎么办?
什么是VPN? 它更安全吗?
一般来说,如果你可以帮助你的话,你不应该把远程桌面直接暴露给互联网。 使用VPN将是最好的解决scheme,因为它减less了对VPNterminal设备/软件的攻击面。 如果一个VPN不是一个选项隧道RDP通过SSH当然也是一个可行的解决scheme。 如果您绝对必须直接向Internet公开RDP,则应该通过边缘防火墙或Windows防火墙(如果没有)来限制可以连接的IP地址。 如果最坏的情况是要求整个互联网访问你的RDP服务器,那么你应该在你的边缘防火墙上对新的连接尝试进行速度限制,或者如果这不是一种select,那么看看可以限制你的速度的软件(就像我的ts_block脚本 )。
VPN支持虚拟专用networking。 这是将远程用户和networking以安全方式连接到内部networking的一种方法。 它通常包括身份validation以及连接encryption。
有两种主要types的VPN:站点到站点和远程访问。 站点到站点用于连接整个networking,而远程访问通常用于连接远程用户(即单个机器)。
所以是的,VPN是获得你想要做的最好的方式。
在实践中,你应该做的是在你的networking边缘(大多数防火墙有一个选项)或DMZ(如果你有一个更大的基础设施)和用户连接到该VPN系统的边缘设置一个VPN端点。 从那里,你可以设置他们可以访问和如何。
更复杂的系统也使用SSL连接来隧穿RDP或其他远程控制系统。 他们以相似的方式工作,虽然细节会有所不同:用户连接到(通常是基于Web的)外部接口,然后通过该服务器隧道到达内部机器。
在所有情况下,您都应该直接在生产服务器上设置VPN端点,但为此使用不同的机器。
从那里,这一切都取决于你需要你的系统是多么安全。 要求高安全性系统的用户连接到SSL VPN服务器,并使用它连接到“跳转”服务器,然后从那里连接到最终的生产机器,这并不罕见。
如果你想要产品的具体例子,可以帮助你设置这种东西,我可以给你一些我用过的参考。
编辑:我知道有三种产品可以完成你特别需要的function:Citrix Metaframe(昂贵且适用于大型部署,可能不是你想要的),MS自己的remoteApp系统(不适合安全部署并且坦率地说可能太复杂,无法为您设置)和Sophos UMT。
我build议你使用最后一个:这是一个专门的Linux防火墙发行版,包括所有你需要的。 有一个“免费的家庭用户”版本,具有所有你需要的function。 但是,对于商业用途,您需要购买许可证。
如果您想投入更多时间进行项目,您也可以自己使用任何Linux系统上的OpenVPN服务器。