遠(yuǎn)程網(wǎng)絡(luò)連接在企業(yè)的信息化應(yīng)用中是一門比較實用的技術(shù)�����。他可以通過各種方式實現(xiàn)����,如VPN、遠(yuǎn)程控制工具等等�����。不過�����,遠(yuǎn)程桌面Web連接也是其中的一個佼佼者。如不少企業(yè)�����,會在企業(yè)的門戶網(wǎng)站上留一個通向企業(yè)內(nèi)網(wǎng)的接口���。這可以讓不在公司的員工可以實時的了解企業(yè)的信息,也可以讓他們在有需要的時候訪問相關(guān)的內(nèi)部系統(tǒng)�����。
簡單的說�����,遠(yuǎn)程桌面Web連接就是通過與企業(yè)的Web服務(wù)器連接��,從而實現(xiàn)與某臺特定計算機(jī)的終端服務(wù)器之間的通信���。最重要的是����,在客戶端上不需要安裝任何的插件��。這就使得遠(yuǎn)程桌面Web連接受到很多網(wǎng)絡(luò)管理員的青睞。
但是��,由于在客戶端上不需要任何的設(shè)置�,這就導(dǎo)致遠(yuǎn)程連接的安全重任都落在了企業(yè)Web服務(wù)器的肩膀上。故一些“遠(yuǎn)程桌面Web連接”的相關(guān)軟件都提供了很高級別的安全設(shè)置���。下面筆者就以Windows2003自帶的IIS插件為例�,談?wù)勗撊绾巫龊眠h(yuǎn)程桌面的Web連接安全設(shè)置�����。
一��、是否允許匿名訪問
在考慮遠(yuǎn)程桌面Web連接安全的時候�,第一個要考慮的問題就是“是否允許匿名訪問”。如果允許用戶“匿名訪問”��,則選擇“啟用匿名訪問”復(fù)選框��。默認(rèn)情況下�,系統(tǒng)在安裝的時候,已經(jīng)為匿名用戶創(chuàng)建了一個公用帳戶�����。當(dāng)然用戶也可以自己設(shè)置用戶所需要采用的帳戶以及相關(guān)的權(quán)限。匿名用戶在訪問的時候����,也可以不使用用戶名與密碼登陸,而直接刪除系統(tǒng)提供的默認(rèn)用戶帳戶與密碼即可以訪問���。
如果不允許匿名帳戶登陸�,則可以不管這個復(fù)選框���。不過需要在“用戶訪問需要經(jīng)過身份驗證”選擇具體的身份驗證方式。
一般情況下���,如果該Web服務(wù)器是為公眾使用的��,則就要啟用“匿名訪問”�����。但是�����,若在這個公用的Web服務(wù)器上�����,還提供企業(yè)內(nèi)部員工訪問企業(yè)內(nèi)網(wǎng)的一個通道的時候��,就要把這個單獨的網(wǎng)頁�����,設(shè)置為“用戶訪問需要經(jīng)過身份驗證”�����。并且根據(jù)企業(yè)安全要求的不同�����,選擇合適的身份驗證方式��。
二��、根據(jù)安全級別選擇合適的身份驗證方式
在微軟2003服務(wù)器系統(tǒng)自帶的IIS插件中��,主要提供了三種身份驗證方式���。不同的驗證方式對應(yīng)著不同的安全級別與不同的兼容性�。
第一種是“Windows域服務(wù)器的摘要式身份驗證”。這種認(rèn)證方式必須要有活動目錄的支持�,也就是說,他是采取域用戶身份驗證方式��。他主要在網(wǎng)絡(luò)上發(fā)送哈希值���,采用密文傳輸�����,而不是明文傳輸��。故其安全性是非常高的���。另外����,這種身份認(rèn)證方式往往還不受防火墻配置的影響。因為摘要式身份驗證方是越過了代理服務(wù)器和其他防火墻�,與代理服務(wù)器和其他防火墻一起工作;并且在Web分布式創(chuàng)作以及版本控制目錄中可用。若企業(yè)實現(xiàn)了域環(huán)境��,則這是首選的身份驗證方式��。
第二種是“基本身份驗證”方式。這跟第一種身份驗證方式最大的差異就是�����,前者在網(wǎng)絡(luò)中傳輸?shù)氖枪V�����。而后者則是以明文的方式在網(wǎng)絡(luò)中傳輸密碼�。這種身份驗證方式有優(yōu)點也有缺點。優(yōu)點是它完全遵循了HTTP規(guī)范�����,故他被大多數(shù)的瀏覽器所支持��。不僅微軟的IE瀏覽器支持他;在Linux操作平臺上的Mazida瀏覽器也可以很好的兼容�����。缺點就是因為其帳戶與密碼都是明文傳輸�����,所以,其安全性方面就得不到保證���。
第三種是“NET Passport身份驗證”選項���。這種身份驗證方式,也是不基于操作系統(tǒng)的��,跟現(xiàn)在市場上的大部分瀏覽器都能夠很好的兼容��,F(xiàn)在很多門戶網(wǎng)站提供了“一站式的訪問”�,即憑借一個網(wǎng)絡(luò)通行證,可以同時訪問博客����、郵件、網(wǎng)絡(luò)商店等等����,就是采用了這種技術(shù)。NET Passport允許站點的管理員創(chuàng)建獨立的用戶名與密碼����,保證對所有啟用的NET Passport網(wǎng)站和服務(wù)的訪問安全�����。這個身份驗證方式,是通過中央服務(wù)器來對用戶進(jìn)行身份驗證���,而不是主控和維護(hù)其自己的專用身份驗證系統(tǒng)����。如此的話�����,他才可以脫離具體的應(yīng)用����,為訪問者提供“一站式帳戶”。
在這三種身份認(rèn)證方式中�����,筆者傾向與第三種�����。
一方面���,“NET Passport身份驗證”選項不受操作系統(tǒng)與瀏覽器版本的約束��。像“Windows域服務(wù)器的摘要式身份驗證”�����,必須與活動目錄帳戶一起運作����。這個限制就比較大。不僅需要有一個域環(huán)境�,而且還需要微軟的IE瀏覽器。一般用戶很難同時滿足這兩個需求��。所以�����,雖然其安全性比較高���,但是����,仍然不能夠得到大范圍的應(yīng)用����。
其次,“基本身份驗證”方式雖然兼容性比較好���,但是���,由于其用戶名與口令是通過明文傳輸?shù)模踩暇痛蟠蛘劭哿����。所以,也不是上上之選�。
而“NET Passport身份驗證”不僅兼容性好,而且還提供了“一站式”的訪問模式��。企業(yè)可以把相關(guān)的服務(wù)�����,如電 子商務(wù)����、OA系統(tǒng)等等都集成在Web服務(wù)器上。然后員工訪問不同的應(yīng)用服務(wù)時���,不需要頻繁的更換帳戶��。這種處理方式�����,更加的人性化���。[NextPage]
三��、通過“IP地址與域名限制”�����,過濾用戶的訪問
我們通過遠(yuǎn)程桌面Web訪問主要可以分為兩類�����。一類是普通員工的訪問��,主要是不在公司的時候���,以Web服務(wù)器為跳板,訪問企業(yè)內(nèi)部的系統(tǒng)��。另一類就是網(wǎng)絡(luò)管理員通過這種方式遠(yuǎn)程管理相關(guān)的應(yīng)用服務(wù)器。
為此����,就需要根據(jù)不同的應(yīng)用類型�����,來進(jìn)行IP地址限制�,以提高Web連接的安全性。
如可以把內(nèi)網(wǎng)的IP地址都禁止掉����,只留下網(wǎng)絡(luò)管理員的IP地址。如此的話��,可以限制企業(yè)員工在內(nèi)部網(wǎng)上通過Web連接訪問企業(yè)內(nèi)部的應(yīng)用系統(tǒng)����。若員工這么做的話,就如同“脫褲子放屁�,多此一舉”。因為員工在公司中可以直接通過內(nèi)部局域網(wǎng)進(jìn)行訪問�。
所以,IP地址與域名限制是一種很好的安全控制機(jī)制����。
四�����、要求采用安全通道��,提高數(shù)據(jù)傳輸過程中的安全性
在微軟自帶的IIS插件中��,還支持安全通道的設(shè)置���。如在“安全通信”頁簽中,可以為遠(yuǎn)程桌面Web連接的通信通道進(jìn)行安全配置����。如可以選擇“要求安全通道”選項,并且可以選擇“要求128位加密”�。這樣就可以對通信過程中的通信通道采用SSL加密,同時對其中的數(shù)據(jù)也進(jìn)行128位的加密���,對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)實現(xiàn)雙重保護(hù)����。
對于安全性要求比較高的企業(yè)����,如在門戶網(wǎng)站中集成了電子商務(wù)模塊的企業(yè)�,則建議采用這種“安全通道”���。以最大程度的對數(shù)據(jù)進(jìn)行安全防護(hù)��。 |
