Windows Sever2008的远程控制与实现.doc

WINDOWS SERVER 2008远程安全访问方案的设计与实现 CHANGSHA UNIVERSITY OF SCIENCE & TECHNOLOGY网络管理与安全课程设计论文袁野学 院 计算机与通信工程 专 业 网络工程 班 级 网络09-01 学 号 200958080125 学生姓名 袁 野 指导教师 刘 青 课程成绩 完成日期 2012年6月8日课程设计成绩评定学 院 计算机与通信工程 专 业 网络工程 班 级 网络09-01 学 号 200958080125 学生姓名 袁 野 指导教师 刘 青 完成日期 2012年6月8日 指导教师对学生在课程设计中的评价评分项目优良中及格不及格课程设计中的创造性成果学生掌握课程内容的程度课程设计完成情况课程设计动手能力文字表达学习态度规范要求课程设计论文的质量指导教师对课程设计的评定意见综合成绩 指导教师签字 2012年 月 日课程设计任务书计算机与通信工程学院 网络工程专业课程名称网络管理与安全课程设计时间20112012学年第2学期1516周学生姓名袁 野指导老师刘 青题 目WINDOWS SERVER 2008远程安全访问方案的设计与实现主要内容：(1) WINDOWS SERVER 2008简介(2) WINDOWS SERVER 2008 的远程访问分析(3) WINDOWS SERVER 2008远程安全访问方案设计要求：(1)综合运用计算机网络安全理论和网络管理相关知识设计本方案。(2)学会文献检索的基本方法和综合运用文献的能力。(3)通过课程设计培养严谨的科学态度，认真的工作作风和团队协作精神。应当提交的文件：(1)课程设计学年论文。(2)课程设计附件（相关图纸、设备配置清单、报告等）。 硬件路由器与软件路由技术比较硬件路由器与软件路由技术比较学生姓名：袁 野 指导教师：刘 青摘要：远程访问是集成的“路由和远程访问”服务的一部分，用来为远程办公人员、外出人员，以及监视和管理多个部门办公室服务器的系统管理员提供远程网络。远程计算机在生产力和环境上有些得到证明的优势，但是并不是没有缺点 - - 大部分以信息安全风险的形式出现。为避免和防止信息被非法的访问操作，提出了一系列安全访问策略。管理安全远程访问是一项艰难的工作，因为远程系统可能直接和互联网连接，而不是通过企业防火墙，这就增加了你的网络环境的危险。本文将针对这些问题介绍几种远程安全访问的设计方案。关键字：Windows Server 2008；服务器；远程连接；安全访问；1 引言32 WINDOWS SERVER 2008简介33 WINDOWS SERVER 2008 的远程访问分析43.1 用户分类43.2 需求分类44 WINDOWS SERVER 2008远程安全访问方案设计54.1第一类：开放端口方式54.2第二类：远程桌面技术54.3第三类：VPN技术65 分析总结76 结束语71 引言Windows Server 2008是微软最新一个服务器操作系统的名称，它继承Windows Server 2003。Windows Server 2008在进行开发及测试时的代号为Windows Server Longhorn。Windows Server 2008是一套相等于Windows Vista(代号为Longhorn)的服务器系统，两者很可能将会拥有很多相同功能；Vista及Server2008与XP及Server2003间存在相似的关系。（XP和Server 2003的代号分别为Whistler及Whistler Server）。要设计出相对完善的远程访问方案，我们有必要对Windows Server 2008进行一定的了解与认识。2 WINDOWS SERVER 2008简介Microsoft Windows Server 2008代表了下一代Windows Server。使用Windows Server 继承“Longhorn Server”的Server 2008，IT专业人员对其服务器和网络基础结构的控制能力更强，从而可重点关注关键业务需求。Windows Server 2008通过加强操作系统和保护网络环境提高了安全性。通过加快IT系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具，Windows Server2008还为IT专业人员提供了灵活性。Windows Server 2008为任何组织的服务器和网络基础结构奠定了最好的基础。Windows Server 2008具有新的增强的基础结构，先进的安全特性和改良后的Windows防火墙支持活动目录用户和组的完全集成。 Microsoft Windows Server2008用于在虚拟化工作负载、支持应用程序和保护网络方面向组织提供最高效的平台。它为开发和可靠地承载Web应用程序和服务提供了一个安全、易于管理的平台。从工作组到数据中心，Windows Server2008都提供了令人兴奋且很有价值的新功能，对基本操作系统做出了重大改进。 Windows Server 2008完全基于64位技术，在性能和管理等方面系统的整体优势相当明显。在此之前，企业对信息化的重视越来越强，服务器整合的压力也就越来越大，因此应用虚拟化技术已经成为大势所趋。经过测试，他们认为，Windows Server 2008完全基于64位的虚拟化技术，为未来服务器整合提供了良好的参考技术手段。Windows Server 虚拟化 (Hyper-V)。Windows服务器虚拟化（Hyper-V）能够使组织最大限度实现硬件的利用率，合并工作量，节约管理成本，从而对服务器进行合并，并由此减少服务器所有权的成本。Windows Server 2008在虚拟化应用的性能方面完全可以和其他主流虚拟化系统相媲美，超出；而在成本和性价比方面，Windows Server 2008更是具有压倒性的优势。3 WINDOWS SERVER 2008 的远程访问分析3.1 用户分类通常需要进行远程访问的人有两类，一类是系统管理员，另一类是普通的用户。 系统管理员通常需要远程访问企业内网的网络设备或服务器，进行远程配置管理操作。以目前的产品发展来看，大部分企业级的网络设备或服务器，通常都提供远程配置管理的接口或功能，管理员可以通过telnet、SSH、web GUI乃至远程管理软件终端等方式，从企业网络的WAN侧进入内网进行管理维护。 普通用户的远程访问需求，通常是远程办公人员、外出人员，尤其是企业高管等需要经常出差又经常需要操作ERP、CRM、HR等信息化系统，进行查看、审批、提单等操作。在企业信息化不断发展进步的今天，越来越多的此类远程访问需求逐渐成为企业IT管理员关注的焦点。3.2 需求分类针对普通用户的远程访问需求，目前较为常见的方式有3种。 第一类是直接开放内部应用系统的端口，允许外部IP直接访问，通过应用系统自身的账号验证机制防范非法用户。 第二类是利用Windows Server 2003及更新的版本所提供的terminal service功能，在外部PC上运行windows远程桌面，先连接到内网的terminal server，再通过该server代理访问内网应用系统。 第三类是采用VPN技术实现与企业内网的远程连接，进而在VPN中访问内网应用系统。4 WINDOWS SERVER 2008远程安全访问方案设计4.1第一类：开放端口方式直接在防火墙上开放内部应用系统的端口。例如某公司ERP系统的应用端口是70017006，可以在防火墙上配置将70017006端口转发到内网的ERP服务器IP地址。外出或远程办公人员可以经由访问企业公网IP的70017006端口，直接进入ERP系统。在通过了ERP系统自身的身份验证之后，就可以进入ERP系统进行操作。 此种方式的实现非常简单，对于技术能力有限，尤其是预算有限的企业，是一种常见的解决方案。但它的威胁也是显而易见的。直接向公网开放ERP服务器端口，会带来网络攻击、黑客入侵等安全风险。尤其在病毒和攻击日益汹涌的今天，这无疑会对内部应用系统以及应用系统服务器的安全构成严重威胁。4.2第二类：远程桌面技术windows XP、Vista的所有版本上均集成了远程桌面终端，只需开启应用系统服务器上的terminal service功能，并开放防火墙上的3389端口（即远程桌面技术专用端口），外出或远程办公人员就可以通过自己PC上的远程桌面终端，连接到应用系统服务器，进而运行相关的应用系统程序。 这一方案因为windows的普及而变得常见。方案的几个要点是： 1，要通过远程桌面访问应用系统，相当于运行应用系统服务器上的客户端程序，或以terminal server的内网PC的身份访问内部应用系统，所生成的文件默认是保存在服务器端。如需保存在远端PC上，或在远端PC所连接的打印机上进行打印，还需要进一步配置terminal service的磁盘映射功能，以及在服务器上安装远程打印机驱动程序等较为复杂的设定。 2，远程桌面技术本身需要进行身份验证，比第一类方案多一重验证机制，安全性必然高于第一类方案。 3，外部PC要通过远程桌面连接内网服务器，仍然需要向公网开放3389端口，因开放端口所导致的服务器受攻击和入侵的风险依然存在。 4，远程桌面技术本身不对所传输的数据进行加密，如果有人刻意在网络上使用抓包工具，是完全有可能恢复所传输的数据，进而造成本应属于企业内部信息，甚至商业机密的泄露。 市面上已经有部分产品采用远程桌面技术为核心，开发出方便管理维护的远程接入平台软件。其中有些品牌已经可以实现磁盘映射和远程打印，并提供简单的加密功能。安全性和可操作性较windows提供的方案有所提高，但安装步骤较为繁琐。且加密等级较低，存在破解风险。而服务器3389端口的开放所带来的风险依然难以回避。4.3第三类：VPN技术VPN技术的应用同样由来已久，最大的好处在于数据在公网传输都是在VPN加密通道中，相对应的安全性较高。细分起来也有3种主流的VPN技术：PPTP VPN、IPSec VPN以及SSL VPN。 PPTP VPN PPTP是一种远程拨号技术，windows自带的拨号程序就提供PPTP VPN拨号。用户可以通过预先配置好的账号，通过windows自带的拨号程序，远程拨入企业PPTP VPN网关，获得内网IP地址，进而以内网PC的身份访问内部应用系统。 PPTP VPN的优势在于技术的普及，windows自带拨号程序使得最终用户无需另行购买安装额外的软件，降低了成本和维护。缺点在于，PPTP协议本身也提供较低等级的加密，为数据在公网上传输提供相应的安全性。但PPTP的加密安全性等级不高，存在被有心人士破解的风险。且用户拨入内网后，没有相应的权限管理，可以访问到任意内网资源，不利于内部网络信息安全管理。 IPSec VPN IPSec VPN以其高达168位的加密安全性，以及核心技术的普及所带来的成本下降，已经成为企业构建跨地域VPN网络的首选方案。任意两个网络之间，只要建立了IPSec VPN，就如同在同一个局域网内，可以任意传送资料和访问对方的应用系统。 目前市面上主流品牌的网关路由器通常都支持IPSec VPN功能，该功能也多用于企业总部与分支之间建立跨地域的VPN，连接多个不同地域的局域网。 IPSec VPN如果用来解决远程访问的需要，必须在远程PC上安装IPSec VPN客户端程序。通常这样的客户端程序都不是免费的，价格从几百块到上千块不等。且客户端的配置通常较为复杂，对于企业一般员工，尤其是企业高管人员，存在一定的技术难度。同样的，IPSec VPN也很难做到权限管理，只要连通VPN，就可以不受限制的访问任意系统，不利于内部信息安全管理。 SSL VPN SSL VPN所采用的128位加密技术，同样能够提供高等级的数据传输安全性。且SSL技术普遍内置于各类主流浏览器，一般用户只需要通过https方式进行访问，就可以在SSL加密的通道中传输数据，避免了安装调试的繁琐，也不用额外投入费用。正是由于有着高安全性、应用简便以及低成本的优势，SSL 加密技术已经广泛应用与网上银行、在线购物、在线支付等对安全性和移动性要求较高的行业。 对于企业外出或远程办公人员，只需打开浏览器，输入企业SSL VPN入口网址或IP，使用个人的VPN账号登录，就可以进入企业内网，访问各类内网资源。目前市面上的SSL VPN产品通常都带有用户权限管理功能，有的可以针对用户组例如财务组，行政组等进行权限设定，管理组内所有成员允许或禁止访问哪些内网资源或应用系统。还有少数产品甚至可以针对每个用户进行权限设定，以及执行批量设定操作，大大的增强了企业内网信息安全管理的可操作性。5 分析总结综合分析，VPN技术在信息传输安全性方面更胜一筹，也逐渐被众多国内的企业所关注。但VPN技术也存在一些不足，尤其是通过VPN使用ERP系统等远程操作，通常对带宽要求较高。带宽不足就意味着漫长的等待。要解决这一问题，最好的方法是采用VPN与远程桌面技术的结合，尤其是SSL VPN+远程桌面技术。SSL VPN+远程桌面SSL VPN可以保证传输安全性，避免开放服务器端口，同时提供权限管理。远程桌面技术的特性是只传送画面的变化，理论上每个连接所需带宽仅28.8k