遠程訪問——需求分類

針對普通用戶的遠程訪問需求，較為常見的方式有3種。

一類是直接開放內(nèi)部應用系統(tǒng)的端口，允許外部IP直接訪問，通過應用系統(tǒng)自身的賬號驗證機制防范不合法的用戶。

第二類是利用Windows Server 2003及更新的版本所提供的terminal service功能，在外部PC上運行windows遠程桌面，先連接到內(nèi)網(wǎng)的terminal server，再通過該server代理訪問內(nèi)網(wǎng)應用系統(tǒng)。

第三類是采用VPN技術(shù)實現(xiàn)與企業(yè)內(nèi)網(wǎng)的遠程連接，進而在VPN中訪問內(nèi)網(wǎng)應用系統(tǒng)。

遠程訪問的分類

開放端口方式

直接在防火墻上開放內(nèi)部應用系統(tǒng)的端口。例如某公司ERP系統(tǒng)的應用端口是7001~7006，可以在防火墻上配置將7001~7006端口轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的ERP服務器IP地址。外出或遠程辦公人員可以經(jīng)由訪問企業(yè)公網(wǎng)IP的7001~7006端口，直接進入ERP系統(tǒng)。在通過了ERP系統(tǒng)自身的身份驗證之后，就可以進入ERP系統(tǒng)進行操作。

此種方式的實現(xiàn)非常簡單，對于技術(shù)能力有限，尤其是預算有限的企業(yè)，是一種常見的解決方案。但它的威脅也是顯而易見的。直接向公網(wǎng)開放ERP服務器端口，會帶來網(wǎng)絡攻擊等安全風險。尤其在病毒和攻擊日益洶涌的今天，這無疑會對內(nèi)部應用系統(tǒng)以及應用系統(tǒng)服務器的安全構(gòu)成嚴重威脅。

遠程訪問——VPN技術(shù)

IPSec VPN

IPSec VPN以其高達168位的加密安全性，以及核心技術(shù)的普及所帶來的成本下降，已經(jīng)成為企業(yè)構(gòu)建跨地域VPN網(wǎng)絡的必選方案。任意兩個網(wǎng)絡之間，只要建立了IPSec VPN，就如同在同一個局域網(wǎng)內(nèi)，可以任意傳送資料和訪問對方的應用系統(tǒng)。

市面上主流品牌的網(wǎng)關(guān)路由器通常都支持IPSec VPN功能，該功能也多用于企業(yè)總部與分支之間建立跨地域的VPN，連接多個不同地域的局域網(wǎng)。 IPSec VPN如果用來解決遠程訪問的需要，必須在遠程PC上安裝IPSec VPN客戶端程序。通常這樣的客戶端程序都不是免費的，價格從幾百塊到上千塊不等。且客戶端的配置通常較為復雜，對于企業(yè)一般員工，尤其是企業(yè)高管人員，存在一定的技術(shù)難度。同樣的，IPSec VPN也很難做到權(quán)限管理，只要連通VPN，就可以不受限制的訪問任意系統(tǒng)，不利于內(nèi)部信息安全管理。

遠程訪問——遠程聯(lián)網(wǎng)

必須使用網(wǎng)絡才能管理一臺遠程服務器，這就需要可靠的互聯(lián)網(wǎng)連接，網(wǎng)絡流量歷經(jīng)本地服務提供商、區(qū)域骨干網(wǎng)和遠程服務提供商。任何網(wǎng)絡通信的中斷都會妨礙對遠程服務器的管理。

遠程數(shù)據(jù)中心的冗余互聯(lián)網(wǎng)連接是很常見和有用的。真正的冗余必須使用不同運營商的不同線路才能形成。任何冗余互聯(lián)網(wǎng)提供商必須包括線路冗余 ；許多組織只是與不同的互聯(lián)網(wǎng)提供商簽訂合同，卻讓多家提供商共用相同的物理線路，這種冗余是不夠格的。

可以部署撥號互聯(lián)網(wǎng)連接供緊急使用，但通過撥號線路進行遠程服務器管理是一項挑戰(zhàn)，甚至對有經(jīng)驗的管理員也一樣。

考慮雇用技工，在遠程站點當?shù)鼐S護內(nèi)部網(wǎng)絡。一名技術(shù)員可以找到導致連接問題的失效路由器，現(xiàn)場發(fā)現(xiàn)內(nèi)部網(wǎng)絡適配器或交換機端口問題。這些（物理上的）問題都不是遠程管理工具能修復的。