保障應(yīng)用程序集中訪問安全新選擇:WindowsServer2008TS網(wǎng)關(guān)
隨著地域跨度的不斷加大，人員數(shù)量的增長以及組織結(jié)構(gòu)復(fù)雜性的增強，越來越多的組織機構(gòu)采用集中的應(yīng)用部署以及管理的方式來獲得高效的信息流通，這也對支撐業(yè)務(wù)系統(tǒng)的IT基礎(chǔ)架構(gòu)提出了越來越高的要求。從WindowsNT4.0TSE到后來的WindowsServer2000以及WindowsServer2003，微軟向客戶提供了終端服務(wù)（TerminalService），使用終端服務(wù)，用戶無需在本地計算機部署應(yīng)用程序，就可以遠程訪問集中部署在終端服務(wù)器上的應(yīng)用程序。同時利用遠程桌面服務(wù)，管理員可以遠程集中管理服務(wù)器。然而由于安全性的一些風險，終端服務(wù)的應(yīng)用受到了制約，這些風險在Windowsserver2008中得到了有效控制。先讓我們來看一下WindowsServer2008之前，管理員如何來保護應(yīng)用服務(wù)器訪問安全性的吧。

圖1應(yīng)用程序遠程訪問示意圖
 

如圖一所示，在Windows2003及以前的操作系統(tǒng)中，管理員要提供遠程用戶對內(nèi)網(wǎng)中應(yīng)用服務(wù)器的訪問，主要采用兩種模式：
1.使用VPN連接
VPN是被很多用戶所熟知的的一種遠程訪問方式，它要求遠程用戶在訪問服務(wù)器之前先建立一個VPN連接，在客戶端和服務(wù)器之間建立了一個虛擬的私有網(wǎng)絡(luò)通道，所有的應(yīng)用訪問及數(shù)據(jù)訪問均在這個連接基礎(chǔ)之上完成。盡管這種方案提供了一定的安全性，同時也比較靈活，但有時候并不太方便。因為許多公共Internet接入點并沒有開啟PPTP或L2TP通信端口。出差的用戶一般是通過酒店的網(wǎng)絡(luò)來訪問Internet的，而這種網(wǎng)絡(luò)有一些也無法初始化VPN連接。同時由于使用VPN方式連接時，所有的應(yīng)用數(shù)據(jù)都會在網(wǎng)絡(luò)上傳遞，這對網(wǎng)絡(luò)連接的要求也比較高，網(wǎng)絡(luò)的可用性及帶寬在很多時候會制約應(yīng)用程序的實用。
2.使用終端服務(wù)訪問：
管理員比較熟悉的終端服務(wù)訪問方式是在防火墻上打開TCP端口3389，將從Internet客戶端上發(fā)來的請求轉(zhuǎn)發(fā)給本地網(wǎng)絡(luò)中TS服務(wù)器的IP地址。由于終端服務(wù)采用的RDP訪問協(xié)議僅僅將服務(wù)器上用戶的會話界面的變化信息傳遞給客戶端，所以RDP協(xié)議對網(wǎng)絡(luò)的帶寬要求比較低，同時應(yīng)用程序的相關(guān)數(shù)據(jù)并不會在網(wǎng)絡(luò)上傳遞，這也保證了數(shù)據(jù)的安全性。
不過，直接向Internet開啟TCP3389端口可能會導(dǎo)致安全風險，因為服務(wù)器的暴露，使得用戶可以直接訪問服務(wù)器上所有的資源。而且如果你要將多于一臺服務(wù)器發(fā)布到Internet，我們還需要多個公網(wǎng)IP地址，有的管理員采用NAT開放3389之外的端口映射到內(nèi)網(wǎng)多個服務(wù)器上，這雖然減少了公網(wǎng)IP的需求，卻給用戶的訪問帶來了不便。
為了解決上述問題，windowsserver2008中在終端服務(wù)的安全方面作了很大改進，其中有一個新的組件—TS網(wǎng)關(guān)(TSGateway)。它把RDP封裝在HTTPS中(也稱為RDPoverHTTPS)，用戶在訪問服務(wù)器時通過HTTPS的端口TCP443連接到TS網(wǎng)關(guān)服務(wù)器。TS網(wǎng)關(guān)對客戶端進行身份驗證后，從HTTPS中解壓RDP，然后在端口3389上把連接轉(zhuǎn)發(fā)到目標資源。（如下圖所示）。

圖2通過TSGateway訪問遠程服務(wù)器
 

通過TS網(wǎng)關(guān)，客戶端只需要訪問端口443即可建立一個安全的RDP會話。由于只需要使用一個端口，RDPoverHTTPS支持那些只允許HTTP和HTTPS出站通信的代理服務(wù)器。我們只需要一個外網(wǎng)公共IP地址，通過這個IP地址即可發(fā)布TS網(wǎng)關(guān)服務(wù)器，用戶在訪問時也會由TS網(wǎng)關(guān)服務(wù)器轉(zhuǎn)發(fā)訪問到對應(yīng)的終端服務(wù)器，從而避免了用戶對終端服務(wù)器的直接訪問，保護了終端服務(wù)器的安全。
此外，在WindowsServer2008上，管理員可以在TS網(wǎng)關(guān)上對用戶先進行身份驗證，然后根據(jù)驗證的結(jié)果允許或阻止用戶訪問本地網(wǎng)絡(luò)中的某臺(或所有)計算機。這些管理設(shè)置可以通過相關(guān)的策略來完成。
1.終端服務(wù)連接授權(quán)策略(TSCAP)
管理員可以通過設(shè)置終端服務(wù)連接授權(quán)策略指定可以訪問TS網(wǎng)關(guān)服務(wù)器的用戶組（或者計算機組）。通過終端服務(wù)連接授權(quán)策略，可以指定可連接到TS網(wǎng)關(guān)服務(wù)器的用戶或用戶組，這些用戶或者用戶組可以使TS網(wǎng)關(guān)服務(wù)器上的本地帳號或ActiveDirectory域服務(wù)中的用戶帳號（如圖3所示）。

圖3配置TSCAP限定訪問的用戶組
 

管理員還可以使用終端服務(wù)連接授權(quán)策略指定用戶要訪問TS網(wǎng)關(guān)服務(wù)器必須滿足的其他條件。比如，可能要求用戶使用智能卡通過TS網(wǎng)關(guān)建立連接。
2.終端服務(wù)資源授權(quán)策略(TSRAP)
管理員可以通過終端服務(wù)資源授權(quán)策略指定用戶可以通過TS網(wǎng)關(guān)連接的內(nèi)部網(wǎng)絡(luò)資源(計算機組)。在創(chuàng)建連接授權(quán)策略和資源授權(quán)策略之前，用戶將不能通過TS網(wǎng)關(guān)服務(wù)器連接到內(nèi)部網(wǎng)絡(luò)資源。

圖4使用資源授權(quán)策略限制用戶可以訪問的內(nèi)部網(wǎng)絡(luò)資源
 

如上圖所示,管理員可以限定遠程用戶可以通過TS網(wǎng)關(guān)服務(wù)器連接到的內(nèi)部網(wǎng)絡(luò)資源，可以通過AD域中的計算機組或者手工創(chuàng)建的計算機組進行限定。
需要注意的是，通過TS網(wǎng)關(guān)服務(wù)器連接到內(nèi)部網(wǎng)絡(luò)的遠程用戶至少滿足一個連接授權(quán)策略和一個資源授權(quán)策略中指定的條件，將被授予訪問網(wǎng)絡(luò)上的計算機的權(quán)限。
在TS網(wǎng)關(guān)中還提供了監(jiān)視工具來幫助管理員監(jiān)視TS網(wǎng)關(guān)的連接狀態(tài)、運行狀況和事件。通過使用TS網(wǎng)關(guān)管理器，可以指定為了進行審核要監(jiān)視的事件，如下圖。

圖5監(jiān)視TS網(wǎng)關(guān)運行狀況
 

TS網(wǎng)關(guān)的出現(xiàn)，為管理員實現(xiàn)應(yīng)用程序集中訪問提供了一個新的安全保障。此外在Windowsserver2008中，終端服務(wù)還提供了其他的一些組件，如用于建立終端服務(wù)會話負載均衡的TS會話Booker，方便用戶從互聯(lián)網(wǎng)訪問的TSWeb訪問等等，為用戶在Windowsserver2008下的遠程訪問提供了安全、可靠的訪問體驗，大家趕快體驗吧！

【編輯推薦】

1. Windows server 2008 的Hyper-v為企業(yè)提供的方案
2. 優(yōu)秀的接班人——Windows Server 2008
3. 選擇Windows Server 2008的理由
4. Windows Server 2008組策略安全實踐手冊
5. Windows Server 2008理念和規(guī)劃