安全远程控制-价服务介绍「韵盛发」

远程访问——需求分类

针对普通用户的远程访问需求，较为常见的方式有3种。

一类是直接开放内部应用系统的端口，允许外部ip直接访问，通过应用系统自身的---验证机制防范不---的用户。

第二类是利用windows server 2003及更新的版本所提供的terminal service功能，在外部pc上运行windows远程桌面，先连接到内网的terminal server，再通过该server代理访问内网应用系统。

第三类是采用---技术实现与企业内网的远程连接，进而在---中访问内网应用系统。

远程访问的分类

开放端口方式

直接在防火墙上开放内部应用系统的端口。例如某公司erp系统的应用端口是7001~7006，可以在防火墙上配置将7001~7006端口转发到内网的erp服务器-。外出或远程办公人员可以经由访问企业公网ip的7001~7006端口，直接进入erp系统。在通过了erp系统自身的身份验证之后，就可以进入erp系统进行操作。

此种方式的实现非常简单，对于技术能力有限，尤其是预算有限的企业，是一种常见的解决方案。但它的威胁也是显而易见的。直接向公网开放erp服务器端口，会带来---等安全风险。尤其在---和攻击日益汹涌的今天，这无疑会对内部应用系统以及应用系统服务器的安全构成---威胁。

远程桌面技术

windows xp、vista的所有版本上均集成了远程桌面终端，只需开启应用系统服务器上的terminal service功能，并开放防火墙上的3389端口即远程桌面技术端口，外出或远程办公人员就可以通过自己pc上的远程桌面终端，连接到应用系统服务器，进而运行相关的应用系统程序。

这一方案因为windows的普及而变得常见。方案的几个要点是：

1，要通过远程桌面访问应用系统，相当于运行应用系统服务器上的---程序，或以terminal server的内网pc的身份访问内部应用系统，所生成的文件默认是保存在服务器端。如需保存在远端pc上，或在远端pc所连接的打印机上进行打印，还需要进一步配置terminal service的磁盘映射功能，以及在服务器上安装远程打印机驱动程序等较为复杂的设定。

2，远程桌面技术本身需要进行身份验证，比一类方案多一重验证机制，安全性必然高于一类方案。

3，外部pc要通过远程桌面连接内网服务器，仍然需要向公网开放3389端口，因开放端口所导致的服务器受攻击的风险依然存在。

4，远程桌面技术本身不对所传输的数据进行加密，如果有人刻意在网络上使用抓包工具，是完全有可能恢复所传输的数据，进而造成本应属于企业内部信息，甚至商业的泄露。市面上已经有部分产品采用远程桌面技术为---，开发出方便管理维护的远程接入平台软件。其中有些品牌已经可以实现磁盘映射和远程打印，并提供简单的加密功能。安全性和可操作性较windows提供的方案有所提高，但安装步骤较为繁琐。且加密等级较低，存在风险。而服务器3389端口的开放所带来的风险依然难以回避。

远程访问——远程服务器电源

只有在服务器电源实际处于开机状态时，才可能对其进行远程管理，因此必须首先---远端的电源和后备电源都运作正常。不间断电源 (ups) 系统是标准配备，在本地公共电力供应中断时可以临时延续供电。ups电池一般仅能维持几分钟的紧急电力供应——时间只够用来完成服务器关机过程。

有些服务器---不能或者不允许关闭。对于这类要求零停机时间的应用程序可用性级别，请考虑在ups电池耗尽前就能接管供电的替代电力来源： 柴油发电机、当地热电联产设施，诸如太阳能或风力农场或动力燃料电池组。可以选择一个完全冗余的公共电力提供商和线路，虽然这对于大多数企业而言有些不切实际。

当电源失效时，远程服务器管理工具并不能帮到你——尤其是电源故障原因是开关面板故障或断路器跳闸的时候。既要安排---远程检查，---时也需要亲临现场解决问题。