信息化应用中是
门比较实用技术
他可以通过各种方式实现
如VPN、远程控制工具等等不过远程桌面Web连接也是其中个佼佼者如不少企业会在企业门户网站WebSite上留个通向企业内网接口这可以让不在公司员工可以实时了解企业信息也可以让他们在有需要时候访问相关内部系统简单
说远程桌面Web连接就是通过和企业Web服务器连接从而实现和某台特定计算机终端服务器的间通信最重要是在客户端上不需要安装任何插件这就使得远程桌面Web连接受到很多网络管理员青睐但是
由于在客户端上不需要任何设置这就导致远程连接安全重任都落在了企业Web服务器肩膀上故些“远程桌面Web连接”相关软件Software都提供了很高级别安全设置下面就以Windows2003自带IIS插件为例谈谈该如何做好远程桌面Web连接安全设置、是否允许匿名访问在考虑远程桌面Web连接安全
时候第个要考虑问题就是“是否允许匿名访问”如果允许用户“匿名访问”则选择“启用匿名访问”复选框默认情况下系统在安装时候已经为匿名用户创建了个公用帐户当然用户也可以自己设置用户所需要采用帐户以及相关权限匿名用户在访问时候也可以不使用用户名和密码登陆而直接删除系统提供默认用户帐户和密码即可以访问如果不允许匿名帐户登陆
则可以不管这个复选框不过需要在“用户访问需要经过身份验证”选择具体身份验证方式般情况下如果该Web服务器是为公众使用则就要启用“匿名访问”但是若在这个公用Web服务器上还提供企业内部员工访问企业内网个通道时候就要把这个单独网页设置为“用户访问需要经过身份验证”并且根据企业安全要求区别选择合适身份验证方式2、根据安全级别选择合适
身份验证方式在微软2003服务器系统自带
IIS插件中主要提供了 3种身份验证方式区别验证方式对应着区别安全级别和区别兼容性第
种是“Windows域服务器摘要式身份验证”这种认证方式必须要有活动目录支持也就是说他是采取域用户身份验证方式他主要在网络上发送哈希值采用密文传输而不是明文传输故其安全性是非常高另外这种身份认证方式往往还不受防火墙配置影响
摘要式身份验证方是越过了代理服务器和其他防火墙和代理服务器和其他防火墙起工作;并且在Web分布式创作以及版本控制目录中可用若企业实现了域环境则这是首选身份验证方式第 2种是“基本身份验证”方式
这跟第种身份验证方式最大差异就是前者在网络中传输是哈希值而后者则是以明文方式在网络中传输密码这种身份验证方式有优点也有缺点优点是它完全遵循了HTTP规范标准故他被大多数浏览器所支持不仅微软IE浏览器支持他;在Linux操作平台上Mazida浏览器也可以很好兼容缺点就是其帐户和密码都是明文传输所以其安全性方面就得不到保证第 3种是“NETPassport身份验证”选项
这种身份验证方式也是不基于操作系统跟现在市场上大部分浏览器都能够很好兼容现在很多门户网站WebSite提供了“站式访问”即凭借个网络通行证可以同时访问博客、邮件、网络商店等等就是采用了这种技术NETPassport允许站点管理员创建独立用户名和密码保证对所有启用NETPassport网站WebSite和服务访问安全这个身份验证方式是通过中央服务器来对用户进行身份验证而不是主控和维护其自己专用身份验证系统如此话他才可以脱离具体应用为访问者提供“站式帐户”在这 3种身份认证方式中
比较倾向和第 3种方面“NETPassport身份验证”选项不受操作系统和浏览器版本约束像“Windows域服务器摘要式身份验证”必须和活动目录帐户起运作这个限制就比较大不仅需要有个域环境而且还需要微软IE浏览器般用户很难同时满足这两个需求所以虽然其安全性比较高但是仍然不能够得到大范围应用其次
“基本身份验证”方式虽然兼容性比较好但是由于其用户名和口令是通过明文传输安全上就大打折扣了所以也不是上上的选而“NETPassport身份验证”不仅兼容性好
而且还提供了“站式”访问模式企业可以把相关服务如电子商务、OA系统等等都集成在Web服务器上然后员工访问区别应用服务时不需要频繁更换帐户这种处理方式更加人性化3、通过“IP地址和域名限制”
过滤用户访问我们通过远程桌面Web访问主要可以分为两类
类是普通员工访问主要是不在公司时候以Web服务器为跳板访问企业内部系统另类就是网络管理员通过这种方式远程管理相关应用服务器为此
就需要根据区别应用类型来进行IP地址限制以提高Web连接安全性如可以把内网
IP地址都禁止掉只留下网络管理员IP地址如此话可以限制企业员工在内部网上通过Web连接访问企业内部应用系统若员工这么做话就如同多此举员工在公司中可以直接通过内部局域网进行访问所以
IP地址和域名限制是种很好安全控制机制4、要求采用安全通道
提高数据传输过程中安全性在微软自带
IIS插件中还支持安全通道设置如在“安全通信”页签中可以为远程桌面Web连接通信通道进行安全配置如可以选择“要求安全通道”选项并且可以选择“要求128位加密”这样就可以对通信过程中通信通道采用SSL加密同时对其中数据也进行128位加密对网络传输数据实现双重保护对于安全性要求比较高
企业如在门户网站WebSite中集成了电子商务模块企业则建议采用这种“安全通道”以最大程度对数据进行安全防护
最新评论