IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)網(wǎng)絡(luò)安全安全防護(hù) → 手把手教你 保障遠(yuǎn)程桌面Web連接安全

手把手教你 保障遠(yuǎn)程桌面Web連接安全

時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(1)

遠(yuǎn)程網(wǎng)絡(luò)連接在企業(yè)的信息化應(yīng)用中是一門比較實(shí)用的技術(shù)。他可以通過(guò)各種方式實(shí)現(xiàn),如VPN、遠(yuǎn)程控制工具等等。不過(guò),遠(yuǎn)程桌面Web連接也是其中的一個(gè)佼佼者。如不少企業(yè),會(huì)在企業(yè)的門戶網(wǎng)站上留一個(gè)通向企業(yè)內(nèi)網(wǎng)的接口。這可以讓不在公司的員工可以實(shí)時(shí)的了解企業(yè)的信息,也可以讓他們?cè)谟行枰臅r(shí)候訪問(wèn)相關(guān)的內(nèi)部系統(tǒng)。

簡(jiǎn)單的說(shuō),遠(yuǎn)程桌面Web連接就是通過(guò)與企業(yè)的Web服務(wù)器連接,從而實(shí)現(xiàn)與某臺(tái)特定計(jì)算機(jī)的終端服務(wù)器之間的通信。最重要的是,在客戶端上不需要安裝任何的插件。這就使得遠(yuǎn)程桌面Web連接受到很多網(wǎng)絡(luò)管理員的青睞。

但是,由于在客戶端上不需要任何的設(shè)置,這就導(dǎo)致遠(yuǎn)程連接的安全重任都落在了企業(yè)Web服務(wù)器的肩膀上。故一些"遠(yuǎn)程桌面Web連接"的相關(guān)軟件都提供了很高級(jí)別的安全設(shè)置。下面就以Windows2003自帶的IIS插件為例,談?wù)勗撊绾巫龊眠h(yuǎn)程桌面的Web連接安全設(shè)置。

一、是否允許匿名訪問(wèn)

在考慮遠(yuǎn)程桌面Web連接安全的時(shí)候,第一個(gè)要考慮的問(wèn)題就是"是否允許匿名訪問(wèn)"。如果允許用戶"匿名訪問(wèn)",則選擇"啟用匿名訪問(wèn)"復(fù)選框。默認(rèn)情況下,系統(tǒng)在安裝的時(shí)候,已經(jīng)為匿名用戶創(chuàng)建了一個(gè)公用帳戶。當(dāng)然用戶也可以自己設(shè)置用戶所需要采用的帳戶以及相關(guān)的權(quán)限。匿名用戶在訪問(wèn)的時(shí)候,也可以不使用用戶名與密碼登陸,而直接刪除系統(tǒng)提供的默認(rèn)用戶帳戶與密碼即可以訪問(wèn)。

如果不允許匿名帳戶登陸,則可以不管這個(gè)復(fù)選框。不過(guò)需要在"用戶訪問(wèn)需要經(jīng)過(guò)身份驗(yàn)證"選擇具體的身份驗(yàn)證方式。

一般情況下,如果該Web服務(wù)器是為公眾使用的,則就要啟用"匿名訪問(wèn)"。但是,若在這個(gè)公用的Web服務(wù)器上,還提供企業(yè)內(nèi)部員工訪問(wèn)企業(yè)內(nèi)網(wǎng)的一個(gè)通道的時(shí)候,就要把這個(gè)單獨(dú)的網(wǎng)頁(yè),設(shè)置為"用戶訪問(wèn)需要經(jīng)過(guò)身份驗(yàn)證"。并且根據(jù)企業(yè)安全要求的不同,選擇合適的身份驗(yàn)證方式。

二、根據(jù)安全級(jí)別選擇合適的身份驗(yàn)證方式

在微軟2003服務(wù)器系統(tǒng)自帶的IIS插件中,主要提供了三種身份驗(yàn)證方式。不同的驗(yàn)證方式對(duì)應(yīng)著不同的安全級(jí)別與不同的兼容性。

第一種是"Windows域服務(wù)器的摘要式身份驗(yàn)證"。這種認(rèn)證方式必須要有活動(dòng)目錄的支持,也就是說(shuō),他是采取域用戶身份驗(yàn)證方式。他主要在網(wǎng)絡(luò)上發(fā)送哈希值,采用密文傳輸,而不是明文傳輸。故其安全性是非常高的。另外,這種身份認(rèn)證方式往往還不受防火墻配置的影響。因?yàn)檎缴矸蒡?yàn)證方是越過(guò)了代理服務(wù)器和其他防火墻,與代理服務(wù)器和其他防火墻一起工作;并且在Web分布式創(chuàng)作以及版本控制目錄中可用。若企業(yè)實(shí)現(xiàn)了域環(huán)境,則這是首選的身份驗(yàn)證方式。

第二種是"基本身份驗(yàn)證"方式。這跟第一種身份驗(yàn)證方式最大的差異就是,前者在網(wǎng)絡(luò)中傳輸?shù)氖枪V?。而后者則是以明文的方式在網(wǎng)絡(luò)中傳輸密碼。這種身份驗(yàn)證方式有優(yōu)點(diǎn)也有缺點(diǎn)。優(yōu)點(diǎn)是它完全遵循了HTTP規(guī)范,故他被大多數(shù)的瀏覽器所支持。不僅微軟的IE瀏覽器支持他;在Linux操作平臺(tái)上的Mazida瀏覽器也可以很好的兼容。缺點(diǎn)就是因?yàn)槠鋷襞c密碼都是明文傳輸,所以,其安全性方面就得不到保證。

第三種是"NETPassport身份驗(yàn)證"選項(xiàng)。這種身份驗(yàn)證方式,也是不基于操作系統(tǒng)的,跟現(xiàn)在市場(chǎng)上的大部分瀏覽器都能夠很好的兼容。現(xiàn)在很多門戶網(wǎng)站提供了"一站式的訪問(wèn)",即憑借一個(gè)網(wǎng)絡(luò)通行證,可以同時(shí)訪問(wèn)博客、郵件、網(wǎng)絡(luò)商店等等,就是采用了這種技術(shù)。NETPassport允許站點(diǎn)的管理員創(chuàng)建獨(dú)立的用戶名與密碼,保證對(duì)所有啟用的NETPassport網(wǎng)站和服務(wù)的訪問(wèn)安全。這個(gè)身份驗(yàn)證方式,是通過(guò)中央服務(wù)器來(lái)對(duì)用戶進(jìn)行身份驗(yàn)證,而不是主控和維護(hù)其自己的專用身份驗(yàn)證系統(tǒng)。如此的話,他才可以脫離具體的應(yīng)用,為訪問(wèn)者提供"一站式帳戶"。

在這三種身份認(rèn)證方式中,比較傾向與第三種。

一方面,"NETPassport身份驗(yàn)證"選項(xiàng)不受操作系統(tǒng)與瀏覽器版本的約束。像"Windows域服務(wù)器的摘要式身份驗(yàn)證",必須與活動(dòng)目錄帳戶一起運(yùn)作。這個(gè)限制就比較大。不僅需要有一個(gè)域環(huán)境,而且還需要微軟的IE瀏覽器。

一般用戶很難同時(shí)滿足這兩個(gè)需求。所以,雖然其安全性比較高,但是,仍然不能夠得到大范圍的應(yīng)用。

其次,"基本身份驗(yàn)證"方式雖然兼容性比較好,但是,由于其用戶名與口令是通過(guò)明文傳輸?shù)?,安全上就大打折扣了。所以,也不是上上之選。

而"NETPassport身份驗(yàn)證"不僅兼容性好,而且還提供了"一站式"的訪問(wèn)模式。企業(yè)可以把相關(guān)的服務(wù),如電子商務(wù)、OA系統(tǒng)等等都集成在Web服務(wù)器上。然后員工訪問(wèn)不同的應(yīng)用服務(wù)時(shí),不需要頻繁的更換帳戶。這種處理方式,更加的人性化。

三、通過(guò)"IP地址與域名限制",過(guò)濾用戶的訪問(wèn)

我們通過(guò)遠(yuǎn)程桌面Web訪問(wèn)主要可以分為兩類。一類是普通員工的訪問(wèn),主要是不在公司的時(shí)候,以Web服務(wù)器為跳板,訪問(wèn)企業(yè)內(nèi)部的系統(tǒng)。另一類就是網(wǎng)絡(luò)管理員通過(guò)這種方式遠(yuǎn)程管理相關(guān)的應(yīng)用服務(wù)器。

為此,就需要根據(jù)不同的應(yīng)用類型,來(lái)進(jìn)行IP地址限制,以提高Web連接的安全性。

如可以把內(nèi)網(wǎng)的IP地址都禁止掉,只留下網(wǎng)絡(luò)管理員的IP地址。如此的話,可以限制企業(yè)員工在內(nèi)部網(wǎng)上通過(guò)Web連接訪問(wèn)企業(yè)內(nèi)部的應(yīng)用系統(tǒng)。若員工這么做的話,就如同多此一舉。因?yàn)閱T工在公司中可以直接通過(guò)內(nèi)部局域網(wǎng)進(jìn)行訪問(wèn)。

所以,IP地址與域名限制是一種很好的安全控制機(jī)制。

四、要求采用安全通道,提高數(shù)據(jù)傳輸過(guò)程中的安全性

在微軟自帶的IIS插件中,還支持安全通道的設(shè)置。如在"安全通信"頁(yè)簽中,可以為遠(yuǎn)程桌面Web連接的通信通道進(jìn)行安全配置。如可以選擇"要求安全通道"選項(xiàng),并且可以選擇"要求128位加密"。這樣就可以對(duì)通信過(guò)程中的通信通道采用SSL加密,同時(shí)對(duì)其中的數(shù)據(jù)也進(jìn)行128位的加密,對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)實(shí)現(xiàn)雙重保護(hù)。

對(duì)于安全性要求比較高的企業(yè),如在門戶網(wǎng)站中集成了電子商務(wù)模塊的企業(yè),則建議采用這種"安全通道"。以最大程度的對(duì)數(shù)據(jù)進(jìn)行安全防護(hù)。

關(guān)鍵詞標(biāo)簽:遠(yuǎn)程桌面,Web連接安全

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關(guān)下載

    人氣排行 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置