保障应用程序集中访问安全新选择: Windows Server 2008 TS 网关

保障应用程序集中访问安全新选择:WindowsServer2008TS网关
随着地域跨度的不断加大，人员数量的增长以及组织结构复杂性的增强，越来越多的组织机构采用集中的应用部署以及管理的方式来获得高效的信息流通，这也对支撑业务系统的IT基础架构提出了越来越高的要求。从WindowsNT4.0TSE到后来的WindowsServer2000以及WindowsServer2003，微软向客户提供了终端服务（TerminalService），使用终端服务，用户无需在本地计算机部署应用程序，就可以远程访问集中部署在终端服务器上的应用程序。同时利用远程桌面服务，管理员可以远程集中管理服务器。然而由于安全性的一些风险，终端服务的应用受到了制约，这些风险在Windowsserver2008中得到了有效控制。先让我们来看一下WindowsServer2008之前，管理员如何来保护应用服务器访问安全性的吧。

图1应用程序远程访问示意图
 

如图一所示，在Windows2003及以前的操作系统中，管理员要提供远程用户对内网中应用服务器的访问，主要采用两种模式：
1.使用VPN连接
VPN是被很多用户所熟知的的一种远程访问方式，它要求远程用户在访问服务器之前先建立一个VPN连接，在客户端和服务器之间建立了一个虚拟的私有网络通道，所有的应用访问及数据访问均在这个连接基础之上完成。尽管这种方案提供了一定的安全性，同时也比较灵活，但有时候并不太方便。因为许多公共Internet接入点并没有开启PPTP或L2TP通信端口。出差的用户一般是通过酒店的网络来访问Internet的，而这种网络有一些也无法初始化VPN连接。同时由于使用VPN方式连接时，所有的应用数据都会在网络上传递，这对网络连接的要求也比较高，网络的可用性及带宽在很多时候会制约应用程序的实用。
2.使用终端服务访问：
管理员比较熟悉的终端服务访问方式是在防火墙上打开TCP端口3389，将从Internet客户端上发来的请求转发给本地网络中TS服务器的IP地址。由于终端服务采用的RDP访问协议仅仅将服务器上用户的会话界面的变化信息传递给客户端，所以RDP协议对网络的带宽要求比较低，同时应用程序的相关数据并不会在网络上传递，这也保证了数据的安全性。
不过，直接向Internet开启TCP3389端口可能会导致安全风险，因为服务器的暴露，使得用户可以直接访问服务器上所有的资源。而且如果你要将多于一台服务器发布到Internet，我们还需要多个公网IP地址，有的管理员采用NAT开放3389之外的端口映射到内网多个服务器上，这虽然减少了公网IP的需求，却给用户的访问带来了不便。
为了解决上述问题，windowsserver2008中在终端服务的安全方面作了很大改进，其中有一个新的组件—TS网关(TSGateway)。它把RDP封装在HTTPS中(也称为RDPoverHTTPS)，用户在访问服务器时通过HTTPS的端口TCP443连接到TS网关服务器。TS网关对客户端进行身份验证后，从HTTPS中解压RDP，然后在端口3389上把连接转发到目标资源。（如下图所示）。

图2通过TSGateway访问远程服务器
 

通过TS网关，客户端只需要访问端口443即可建立一个安全的RDP会话。由于只需要使用一个端口，RDPoverHTTPS支持那些只允许HTTP和HTTPS出站通信的代理服务器。我们只需要一个外网公共IP地址，通过这个IP地址即可发布TS网关服务器，用户在访问时也会由TS网关服务器转发访问到对应的终端服务器，从而避免了用户对终端服务器的直接访问，保护了终端服务器的安全。
此外，在WindowsServer2008上，管理员可以在TS网关上对用户先进行身份验证，然后根据验证的结果允许或阻止用户访问本地网络中的某台(或所有)计算机。这些管理设置可以通过相关的策略来完成。
1.终端服务连接授权策略(TSCAP)
管理员可以通过设置终端服务连接授权策略指定可以访问TS网关服务器的用户组（或者计算机组）。通过终端服务连接授权策略，可以指定可连接到TS网关服务器的用户或用户组，这些用户或者用户组可以使TS网关服务器上的本地帐号或ActiveDirectory域服务中的用户帐号（如图3所示）。

图3配置TSCAP限定访问的用户组
 

管理员还可以使用终端服务连接授权策略指定用户要访问TS网关服务器必须满足的其他条件。比如，可能要求用户使用智能卡通过TS网关建立连接。
2.终端服务资源授权策略(TSRAP)
管理员可以通过终端服务资源授权策略指定用户可以通过TS网关连接的内部网络资源(计算机组)。在创建连接授权策略和资源授权策略之前，用户将不能通过TS网关服务器连接到内部网络资源。

图4使用资源授权策略限制用户可以访问的内部网络资源
 

如上图所示,管理员可以限定远程用户可以通过TS网关服务器连接到的内部网络资源，可以通过AD域中的计算机组或者手工创建的计算机组进行限定。
需要注意的是，通过TS网关服务器连接到内部网络的远程用户至少满足一个连接授权策略和一个资源授权策略中指定的条件，将被授予访问网络上的计算机的权限。
在TS网关中还提供了监视工具来帮助管理员监视TS网关的连接状态、运行状况和事件。通过使用TS网关管理器，可以指定为了进行审核要监视的事件，如下图。

图5监视TS网关运行状况
 

TS网关的出现，为管理员实现应用程序集中访问提供了一个新的安全保障。此外在Windowsserver2008中，终端服务还提供了其他的一些组件，如用于建立终端服务会话负载均衡的TS会话Booker，方便用户从互联网访问的TSWeb访问等等，为用户在Windowsserver2008下的远程访问提供了安全、可靠的访问体验，大家赶快体验吧！

【编辑推荐】

1. Windows server 2008 的Hyper-v为企业提供的方案
2. 优秀的接班人——Windows Server 2008
3. 选择Windows Server 2008的理由
4. Windows Server 2008组策略安全实践手册
5. Windows Server 2008理念和规划