安全观察安全的随处访问技术

John Morello

目前，技术方面勿庸置疑的趋势之一是工作人员之间的联系日益加强，移动性也日益加强。很多组织的员工都在各地办事处工作或远程办公，还有的员工需要频繁出差访问客户。使这些用户可以从任何位置轻松访问应用程序和数据，从而进一步提高了他们的

工作效率。然而，直到现在，实现安全远程访问通常意味着安装客户端软件、键入晦涩难解的命令以及长时间进行连接。

在过去几年中涌现出了很多方法,它们的目的是使远程访问变得更为简单,访问性更好。例如，Outlook® Web Access (OWA) 为用户提供了一种基于浏览器的简单访问方法，用户无需借助于完整的第 3 层虚拟专用网络 (VPN) 就可以访问自己的电子邮件、日程表和联系人。尽管诸如 OWA 之类的技术可以提供重要的“随处访问”解决方案，但是大多数组织拥有的很多重要应用程序却无法提供相同类型的集成浏览器体验。在这些情况下，诸如“终端服务”的解决方案为用户提供了一种有效的方法，使用户无论位于何处都可以访问自己的应用程序。

在 Windows Server® 2008 中，Microsoft 大大增强了终端服务的“内置”功能集。目前的终端服务包括无缝窗口、名为 RemoteApp 的按应用程序发布功能、EasyPrint 中的通用打印驱动程序功能和名为 TS Web Access 的基于浏览器的门户。此外，Windows Server 2008 还包括为远程桌面协议 (RDP) 提供 SSL 封装的 TS 网关组件，它使用户可以轻松安全地穿过防火墙和网络地址转换 (NAT) 设备，这也是随处访问方案的关键技术。TS 网关功能还可与 Windows Server 2008 中的另一项新技术 — 网络访问保护 (NAP) 集成，为用户提供端点客户端运行状况检查。如果结合使用上述所有组件，组织可以构建使用户随时随地都能轻松安全访问自己的应用程序和数据的解决方案。

本专栏重点关注随处访问解决方案的网络和安全设计方面，而不提供有关管理终端服务组件的详细信息。我将会介绍基于 Windows Server 2008 中包含的技术创建此类解决方案的方法和最佳实践。

第 3 层虚拟专用网络存在什么问题吗？

在谈到任何新技术时，了解它与当前方法相比所存在的优势非常重要，这样您可以准确评估新模型的价值。对传统的第 3 层 VPN 而言，通常有两个主要问题需要解决：安全性和易于使用性。

将安全性作为现在很多第 3 层 VPN 存在的问题列出，好像有悖于常理。难道 VPN 的全部意义不就是通过 Internet 提供安全信道吗？为了了解这个问题，让我们从更高的角度来了解一下人们通常所认为的 VPN 威胁吧！我并不是说通过这些 VPN 传递的数据存在中途被拦截或恶意篡改的风险；现在大多数第 3 层 VPN 都提供了卓越的数据流加密技术。实际上，应该是由对组织网络拥有完整“所有端口、所有协议”访问权限的远程计算机带来的威胁。问题并不在于由第 3 层 VPN 加密并通过网络传输的数据流，而在于通过这些信道进行的远程客户端连接，它们会不断为内部网络带来风险。我们知道，受 Slammer 或 Blaster 等恶意软件影响的大多数组织并不是被内部网络的计算机或黑客穿越防火墙感染。而是远程工作者使用受感染的计算机通过 VPN 连接到网络造成的感染。如果上述 VPN 创建完全路由、基于第 3 层的连接，则远程计算机通常具有和数据中心层所在的计算机同样的访问权限（安全的和不安全的）。

而且，因为第 3 层 VPN 要求在不由组织 IT 小组管理的计算机上安装和配置软件，所以运行成本很高。例如，在用户的家用计算机上安装 VPN 客户端可能会涉及到创建自定义安装程序包、用户需要遵守的详细安装说明，以及排除与用户计算机上的应用程序相互冲突的问题。此外，如果需要部署新的客户端版本或更改配置数据（如添加新的 VPN 端点），管理费用也会很高。对用户来说，通过 VPN 工作并不是直观的体验。因为它只提供第 3 层连接，所以用户不能轻松地访问和查看自己的业务应用程序和数据。

解决终端服务问题

终端服务和其他所谓的第 7 层或应用层 VPN 技术能够更好地控制用户可以访问的资源和协议，并使最终用户体验比以前更简单直观，从而解决了上述两个问题。

从安全角度来看，与内部网络的连接并非完全开放的管道，这是利用终端服务和 TS 网关的方法与第 3 层 VPN 方法在功能上最关键的区别。具体而言，第 3 层方法会在本地计算机上创建具有内部网络完全路由功能的虚拟接口，而 TS 网关方法只允许基于 RDP 的数据包进入内部网络，因此，前者大大减小了总的受攻击面，也可以对 RDP 应用实施更精细地控制。例如，当 RDP 对驱动器重定向提供本地支持时，组织可以将其 TS 网关配置为与 NAP 集成，除非远程计算机能够证明自己使用的是最新的防病毒软件，否则不允许使用此功能。

对于最终用户，第 3 层 VPN 与基于终端服务的方法之间最明显的区别在于设置极其简单（通常根本不需要设置），并且可以更简单、更直观地访问应用程序和数据。因为远程桌面连接客户端基于 Windows 构建，可以随时通过普通服务技术（如 Windows® Update）进行更新，所以通常不需要安装客户端软件。而且，利用 TS Web Access，用户可以通过访问一个 URL 找到所有的应用程序和数据。只需单击相应的应用程序就可以启动 TS 网关，通过 Internet 安全建立信道连接，并且应用程序还可以无缝传送到用户桌面。换句话说，应用程序的外观和行为就像它安装在本地一样，可以复制和粘贴以及最小化工具栏。通过使应用程序和数据更容易发现，设置更即时，基于终端服务器的远程访问方法成功提升了用户的满意度，同时还降低了支持成本。

网络体系结构选择

要使 TS 网关服务器可以通过 Internet 使用，可以使用两种基本网络设计方法。第一种方法，将 TS 网关置于两个 3/4 层防火墙之间的外围网络中。第二种方法，使 TS 网关位于内部网络中，并在外围网络使用应用层防火墙（如 Microsoft® ISA 服务器、Microsoft 智能应用程序网关，或各种第三方解决方案），然后检查入站 HTTPS 帧。只有完成这些入站会话分析后，数据包才会转发到内部 TS 网关服务器。

如果组织只对两个 3/4 层防火墙进行基本状态数据包检查，则系统会将 TS 网关设备直接放在外围网络中，如图 1 所示。在这种设计中，面向 Internet 的防火墙将会限制与 TS 网关的连接，仅允许与来自 Internet 的 HTTPS 通信建立连接。不过，该防火墙不会在应用层检查此通信；它只将通信转发到 TS 网关。然后，TS 网关服务器从 HTTPS 数据包中提取 RDP 帧，并将其转发到相应的后端服务器。这些后端服务器与外围网络的连接通常被另一个防火墙隔开，该防火墙配置为仅允许来自 TS 网关的 RDP 帧转到相应的内部服务器。

图 1** 在使用 3/4 层防火墙的情况下，TS 网关位于外围网络中 **(单击该图像获得较大视图)

尽管此方案完全受支持而且对许多组织都非常有用，但是它仍然存在两个主要缺点。首先，因为 TS 网关直接从 Internet 接收通信，相对来说需要承担的外部恶意方风险更高。恶意方可能会试图通过 SSL 会话攻击 TS 网关，因为前端防火墙只检查标头而不检查负载，所以这些会话可能会到达该网关。这并不代表 TS 网关是一个容易受攻击的组件，它和其他 Windows Server 2008 产品一样经过了严格的安全性设计和测试。不过，在这种情况下风险性相对较高，只因为它直接处理来自 Internet 的未经筛选的通信。第二个主要缺点在于通信量会增加，因为必须允许网关和后端防火墙进行通信。要对用户进行身份验证，TS 网关需要与 Active Directory® 通信，而要允许此通信，后端防火墙必须破例允许更大范围内的端口和协议，而不只是 HTTPS。这增加了允许通信的级别，同时也代表相对增加了设计的风险。

使 TS 网关可以与 Internet 连接的一个更好的方法是在入站 HTTPS 会话到达网关之前使用应用层（第 7 层）防火墙对其进行处理（参见图 2）。在此设计中，可能依然采用传统的 3/4 层防火墙形成外围网络，然而处于外围网络中的并不是 TS 网关，而是第 7 层防火墙。在通信到达面向外部的防火墙时，该防火墙会筛选除 HTTPS 帧之外的所有内容，然后再将所有帧转发至第 7 层防火墙。第 7 层防火墙将终止 SSL 会话、检查未加密的流内容、阻止恶意通信，然后将 RDP 帧通过后端防火墙发送至 TS 网关。请注意，如果需要，第 7 层防火墙还可以在帧发送至 TS 网关前重新对其进行加密。在组织专用网络中可能不需要这种方法，但在托管数据中心或共享网络中它却能发挥重大作用。

图 2** 结合使用应用层防火墙和 TS 网关设备 **(单击该图像获得较大视图)

这种设计避免了前面解决方案的两个不足之处。因为 TS 网关服务器只接收通过第 7 层防火墙检查的通信，所以降低了通过 Internet 受攻击的风险。第 7 层防火墙可以对这些攻击进行筛选，然后只将安全、通过检查的通信发送回网关。

此解决方案的第二个显著优点是网关相对内部网络的位置。因为来自 Internet 的通信在到达网关之前已通过了第 7 层防火墙的检查，所以它可以留在内部网络，并可直接访问域控制器进行身份验证以及访问 RDP 主机进行用户会话。此外，后端防火墙还可使用限制更为严格的策略。它只需要允许 RDP 会话从第 7 层防火墙传送到 TS 网关，而无需同时允许 RDP 和目录身份验证通信。使用第 7 层防火墙在前端进行 TS 网关部署，可提供一种更安全且更易于管理的解决方案，而且不需要重新设计现有的外围网络。

NAP 集成

终端服务资源

• Windows Server 2008 中的终端服务
• Windows Server 2008 终端服务 TechNet 论坛
• 终端服务团队博客
• Microsoft Intelligent Application Gateway 2007
• Windows Server 2008 的网络访问保护 (NAP)
• 网络访问保护 (NAP) 博客
• Windows Server 2008 Beta 3 分步指南

尽管良好的外围设计是随处访问解决方案的关键因素，但是确保端点设备的兼容性和安全性同样很重要。因为 RDP 是允许多种类型设备重定向（如 RDP 会话和打印机）的丰富协议，所以连接到解决方案的客户端符合组织的安全策略至关重要。例如，即使拥有基于诸如前面所述的最佳实践的安全网络拓扑，通过不安全计算机连接到终端服务器的最终用户仍有可能丢失机密数据或试图将恶意文件放入终端服务器上。即使与用户通过第 3 层 VPN 连接相比，连接量和潜在的破坏性要少得多，但是存在管理数据丢失的风险并确保符合 IT 策略仍然不容忽视。

网络访问保护 (NAP) 是 Windows Server 2008 的一项新技术，它使用户不仅可以控制与网络连接的对象，还可以控制连接的系统类型。例如，您可以使用 NAP 确保只有运行防火墙并且防病毒程序最新的计算机才能连接到网络。NAP 是一项可扩展的解决方案，不仅涉及组织的内部网络，还涉及远程用户，包括通过第 3 层 VPN 和 TS 网关进行连接的远程用户。通过将 NAP 与 TS 网关设计集成，用户可以确保只有符合安全策略的系统才能连接到网络。有关 NAP 的更多信息，请参阅《TechNet 杂志》2007 年 5 月刊的**“安全观察”专栏，用户可以联机访问 technetmagazine.com/issues/2007/05/SecurityWatch 查看此专栏。

将 NAP 集成到 TS 网关部署是一个简单的过程，在设计中只涉及另外一个服务。此服务即网络策略服务器 (NPS)，可以安装在 TS 网关服务器本身上，也可以安装在单独的操作系统实例中。然后，可以使用 TS 网关 MMC 创建连接身份验证策略 (CAP)，定义为了实现指定的运行状况所允许的 RDP 功能。TS 网关服务器配置为每次试图建立新的连接都要经 NPS 核实，并且该连接的运行状况声明 (SoH) 会转发到 NPS。随后，网络策略服务器会将 SoH 与其策略进行比较，并根据客户端的运行状况通知 TS 网关是否允许建立连接。

如图 3 中所示，如果没有将不符合条件的系统配置为使用 Windows Update，但是组织的安全策略要求启用自动更新，那么在用户试图连接到 TS 网关时，该用户所使用的计算机会自动生成并转发 SoH。此 SoH 会显示类似于“防火墙处于开启状态，防病毒程序是最新的，但自动更新被禁用”的消息。TS 网关直接将此 SoH 转发至 NPS（TS 网关不具有自行对 SoH 解码的逻辑），NPS 随后会将 SoH 与其管理员定义的策略进行比较。因为自动更新已禁用，所以 NPS 确定该连接与“不符合条件”策略相匹配，并通知 TS 网关不允许建立此连接。TS 网关会断开此连接，并告知用户其计算机没有达到组织安全策略的要求。然后，用户可以采取所需的纠正措施（在本例中，只需启用自动更新）并重新尝试建立连接。因此，会生成新的 SoH，NPS 将确定其符合性，然后 TS 网关可能允许继续建立连接。

图 3** 只有符合条件的系统可以建立连接 **(单击该图像获得较大视图)

结束语

Windows Server 2008 包含安全随处访问解决方案的主要构建基块。TS 网关提供了一种安全的方法，可以通过 Internet 利用信道传输远程桌面会话，并在与现有网络集成的方式方面为组织提供了多种选择。这些选择包括将 TS 网关直接放在外围网络中，或者在 TS 网关前使用第 7 层防火墙（如 ISA 服务器或智能应用程序网关）。可结合使用 NAP 与 TS 网关以将端点运行检查功能添加到解决方案中。通过端点检查，组织不仅可以确保远程连接来自于有效用户，还可以确保其来自于符合 IT 安全策略的计算机。一旦 NAP 与 TS 网关结合使用，这些技术就可以为组织提供更安全、效率更高的远程访问功能，还可以为终端用户提供更好的体验。通过浏览“终端服务资源”侧栏中所列出的站点，您可以找到更多相关信息。

John Morello于 2000 年加盟 Microsoft。作为高级顾问，他曾经为财富 100 强企业以及联邦民用和国防客户设计多种安全解决方案。目前他是 Windows Server 小组的高级项目经理，主要研究随处访问技术。用户可访问 blogs.technet.com/WinCAT 查看其团队的博客。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利；不得对全文或部分内容进行复制.