遠程訪問

有運行 Windows 的計算機和網路連接的用戶可以撥號遠程訪問他們的網路來獲得服務，例如文件和印表機共享、電子郵件、計劃及 SQL 資料庫訪問。

通常需要進行遠程訪問的人有兩類，一類是系統管理員，另一類是普通的用戶。

系統管理員通常需要遠程訪問企業內網的網路設備或伺服器，進行遠程配置管理操作。以目前的產品發展來看，大部分企業級的網路設備或伺服器，通常都提供遠程配置管理的介面或功能，管理員可以通過telnet、SSH、web GUI乃至遠程管理軟體終端等方式，從企業網路的WAN側進入內網進行管理維護。

普通用戶的遠程訪問需求，通常是遠程辦公人員、外出人員，尤其是企業高管等需要經常出差又經常需要操作ERP、CRM、HR等信息化系統，進行查看、審批、提單等操作。在企業信息化不斷發展進步的今天，越來越多的此類遠程訪問需求逐漸成為企業IT管理員關注的焦點。

針對普通用戶的遠程訪問需求，目前較為常見的方式有3種。

第一類是直接開放內部應用系統的埠，允許外部IP直接訪問，通過應用系統自身的賬號驗證機制防範非法用戶。

第二類是利用Windows Server 2003及更新的版本所提供的terminal service功能，在外部PC上運行windows遠程桌面，先連接到內網的terminal server，再通過該server代理訪問內網應用系統。

直接在防火牆上開放內部應用系統的埠。例如某公司ERP系統的應用埠是7001~7006，可以在防火牆上配置將7001~7006埠轉發到內網的ERP伺服器IP地址。外出或遠程辦公人員可以經由訪問企業公網IP的7001~7006埠，直接進入ERP系統。在通過了ERP系統自身的身份驗證之後，就可以進入ERP系統進行操作。

此種方式的實現非常簡單，對於技術能力有限，尤其是預算有限的企業，是一種常見的解決方案。但它的威脅也是顯而易見的。直接向公網開放ERP伺服器埠，會帶來網路攻擊、黑客入侵等安全風險。尤其在病毒和攻擊日益洶湧的今天，這無疑會對內部應用系統以及應用系統伺服器的安全構成嚴重威脅。

windows XP、Vista的所有版本上均集成了遠程桌面終端，只需開啟應用系統伺服器上的terminal service功能，並開放防火牆上的3389埠（即遠程桌面技術專用埠），外出或遠程辦公人員就可以通過自己PC上的遠程桌面終端，連接到應用系統伺服器，進而運行相關的應用系統程序。

這一方案因為windows的普及而變得常見。方案的幾個要點是：

1，要通過遠程桌面訪問應用系統，相當於運行應用系統伺服器上的客戶端程序，或以terminal server的內網PC的身份訪問內部應用系統，所生成的文件默認是保存在伺服器端。如需保存在遠端PC上，或在遠端PC所連接的印表機上進行列印，還需要進一步配置terminal service的磁碟映射功能，以及在伺服器上安裝遠程印表機驅動程序等較為複雜的設定。

2，遠程桌面技術本身需要進行身份驗證，比第一類方案多一重驗證機制，安全性必然高於第一類方案。

3，外部PC要通過遠程桌面連接內網伺服器，仍然需要向公網開放3389埠，因開放埠所導致的伺服器受攻擊和入侵的風險依然存在。

4，遠程桌面技術本身不對所傳輸的數據進行加密，如果有人刻意在網路上使用抓包工具，是完全有可能恢復所傳輸的數據，進而造成本應屬於企業內部信息，甚至商業機密的泄露。

市面上已經有部分產品採用遠程桌面技術為核心，開發出方便管理維護的遠程接入平台軟體。其中有些品牌已經可以實現磁碟映射和遠程列印，並提供簡單的加密功能。安全性和可操作性較windows提供的方案有所提高，但安裝步驟較為繁瑣。且加密等級較低，存在破解風險。而伺服器3389埠的開放所帶來的風險依然難以迴避。