遠程網絡連接在企業的信息化應用中是一門比較實用的技術�。他可以通過各種方式實現����,如VPN��、遠程控制工具等等�。不過��,遠程桌面Web連接也是其中 的一個佼佼者��。如不少企業�����,會在企業的門戶網站上留一個通向企業內網的接口。這可以讓不在公司的員工可以實時的了解企業的信息����,也可以讓他們在有需要的時 候訪問相關的內部系統���。
簡單的說,遠程桌面Web連接就是通過與企業的Web服務器連接��,從而實現與某臺特定計算機的終端服務器之間的通信���。最重要的是�����,在客戶端上不需要安裝任何的插件����。這就使得遠程桌面Web連接受到很多網絡管理員的青睞�。
但是,由于在客戶端上不需要任何的設置,這就導致遠程連接的安全重任都落在了企業Web服務器的肩膀上。故一些“遠程桌面Web連接”的相關軟 件都提供了很高級別的安全設置���。下面筆者就以Windows2003自帶的IIS插件為例,談談該如何做好遠程桌面的Web連接安全設置。
一、是否允許匿名訪問
在考慮遠程桌面Web連接安全的時候,第一個要考慮的問題就是“是否允許匿名訪問”。如果允許用戶“匿名訪問”�,則選擇“啟用匿名訪問”復選 框��。默認情況下,系統在安裝的時候,已經為匿名用戶創建了一個公用帳戶����。當然用戶也可以自己設置用戶所需要采用的帳戶以及相關的權限�。匿名用戶在訪問的時 候�����,也可以不使用用戶名與密碼登陸���,而直接刪除系統提供的默認用戶帳戶與密碼即可以訪問�。
如果不允許匿名帳戶登陸���,則可以不管這個復選框����。不過需要在“用戶訪問需要經過身份驗證”選擇具體的身份驗證方式�����。
一般情況下�����,如果該Web服務器是為公眾使用的,則就要啟用“匿名訪問”��。但是�,若在這個公用的Web服務器上,還提供企業內部員工訪問企業內 網的一個通道的時候�����,就要把這個單獨的網頁�����,設置為“用戶訪問需要經過身份驗證”����。并且根據企業安全要求的不同,選擇合適的身份驗證方式。
二、根據安全級別選擇合適的身份驗證方式
在微軟2003服務器系統自帶的IIS插件中�����,主要提供了三種身份驗證方式����。不同的驗證方式對應著不同的安全級別與不同的兼容性����。
第一種是“Windows域服務器的摘要式身份驗證”。這種認證方式必須要有活動目錄的支持���,也就是說,他是采取域用戶身份驗證方式��。他主要在 網絡上發送哈希值���,采用密文傳輸�,而不是明文傳輸。故其安全性是非常高的�。另外���,這種身份認證方式往往還不受防火墻配置的影響��。因為摘要式身份驗證方是越 過了代理服務器和其他防火墻,與代理服務器和其他防火墻一起工作;并且在Web分布式創作以及版本控制目錄中可用���。若企業實現了域環境,則這是首選的身份 驗證方式��。
第二種是“基本身份驗證”方式�����。這跟第一種身份驗證方式最大的差異就是���,前者在網絡中傳輸的是哈希值��。而后者則是以明文的方式在網絡中傳輸密 碼。這種身份驗證方式有優點也有缺點�����。優點是它完全遵循了HTTP規范����,故他被大多數的瀏覽器所支持��。不僅微軟的IE瀏覽器支持他;在Linux操作平臺 上的Mazida瀏覽器也可以很好的兼容���。缺點就是因為其帳戶與密碼都是明文傳輸�,所以�,其安全性方面就得不到保證。
第三種是“NETPassport身份驗證”選項。這種身份驗證方式�����,也是不基于操作系統的�,跟現在市場上的大部分瀏覽器都能夠很好的兼容。現 在很多門戶網站提供了“一站式的訪問”,即憑借一個網絡通行證����,可以同時訪問博客��、郵件、網絡商店等等����,就是采用了這種技術���。NETPassport允許 站點的管理員創建獨立的用戶名與密碼���,保證對所有啟用的NETPassport網站和服務的訪問安全�����。這個身份驗證方式���,是通過中央服務器來對用戶進行身 份驗證,而不是主控和維護其自己的專用身份驗證系統。如此的話���,他才可以脫離具體的應用,為訪問者提供 “一站式帳戶”。
在這三種身份認證方式中���,筆者傾向與第三種。
一方面,“NETPassport身份驗證”選項不受操作系統與瀏覽器版本的約束。像“Windows域服務器的摘要式身份驗證”,必須與活動 目錄帳戶一起運作���。這個限制就比較大。不僅需要有一個域環境,而且還需要微軟的IE瀏覽器��。一般用戶很難同時滿足這兩個需求�。所以,雖然其安全性比較高, 但是�����,仍然不能夠得到大范圍的應用���。
其次���,“基本身份驗證”方式雖然兼容性比較好�����,但是��,由于其用戶名與口令是通過明文傳輸的,安全上就大打折扣了。所以�,也不是上上之選���。
而“NETPassport身份驗證”不僅兼容性好�,而且還提供了“一站式”的訪問模式��。企業可以把相關的服務,如電子商務���、OA系統等等都集成在Web服務器上。然后員工訪問不同的應用服務時����,不需要頻繁的更換帳戶��。這種處理方式,更加的人性化��。
三��、通過“IP地址與域名限制”��,過濾用戶的訪問
我們通過遠程桌面Web訪問主要可以分為兩類。一類是普通員工的訪問����,主要是不在公司的時候����,以Web服務器為跳板��,訪問企業內部的系統�。另一類就是網絡管理員通過這種方式遠程管理相關的應用服務器�����。
為此��,就需要根據不同的應用類型,來進行IP地址限制����,以提高Web連接的安全性�����。
如可以把內網的IP地址都禁止掉,只留下網絡管理員的IP地址����。如此的話�����,可以限制企業員工在內部網上通過Web連接訪問企業內部的應用系統。若員工這么做的話�����,就如同“脫褲子放屁��,多此一舉”����。因為員工在公司中可以直接通過內部局域網進行訪問��。
所以����,IP地址與域名限制是一種很好的安全控制機制��。
四�、要求采用安全通道����,提高數據傳輸過程中的安全性
在微軟自帶的IIS插件中,還支持安全通道的設置�����。如在“安全通信”頁簽中���,可以為遠程桌面Web連接的通信通道進行安全配置��。如可以選擇“要 求安全通道”選項,并且可以選擇“要求128位加密”。這樣就可以對通信過程中的通信通道采用SSL加密,同時對其中的數據也進行128位的加密�,對網絡 傳輸的數據實現雙重保護���。
對于安全性要求比較高的企業�,如在門戶網站中集成了電子商務模塊的企業���,則建議采用這種“安全通道”���。以最大程度的對數據進行安全防護��。
