Назад | Перейти на главную страницу

Доступ к нашему интранету из-за пределов нашей сети - БЕЗ VPN

Мы только что обновили интрасеть нашей компании с сервера / базы кода ASP (плохо написанного) на основе IIS до сервера Windows Server 2008 r2 (Apache / MySQL / PHP).

Старый сервер позволял пользователям входить в intranet.xxx.org, используя там AD user / pass, которые затем приводили их в интранет компании практически из любого места, где у них был доступ в Интернет.

Мы хотим имитировать эту функциональность (или изменить ее на что-то более безопасное) в новой настройке.

По-видимому, это было настроено для внешних сотрудников, работающих в государственной сети. Государственная сеть не позволяет использовать VPN, поэтому нам нужен был способ разрешить этим сотрудникам доступ к интрасети.

Итак, как нам разрешить пользователям входить в систему из внешнего мира и получать доступ к нашей интрасети?

Если новая «экстрасеть» (точнее описывает ваш сайт) не доступна с общедоступного маршрутизируемого IP-адреса, вам необходимо предоставить некоторый удаленный доступ или метод туннелирования, чтобы «подключиться» к сети, а затем подтянуть сайт.

При этом вы можете пойти одним из этих маршрутов ...

  1. Работайте с людьми из государственной сети, получите доступ к VPN, вроде этого не будет, но мало ли.
  2. Используйте какой-то пограничный / прокси-сервер, который может находиться в общедоступном Интернете и ретранслировать запросы на ваш внутренний сервер. Это предоставляет вам настоящий сайт интрасети с механизмом экстрасети для входа на сайт интрасети.
  3. Снова направьте ваш интранет-сайт в общедоступную сеть, как это было раньше ... наверняка решит проблему!
  4. Кроме того, вы также можете исследовать добавление ADFS (служб федерации Active Directory) в смесь, это может помочь вам в долгосрочной перспективе с помощью токенов безопасности. Опять же, в сочетании с вариантом 2 пользователь получит простую страницу входа в систему на основе форм, и в случае успеха они будут перенаправлены на ваш сайт интрасети вместе с защищенным токеном, поэтому вход в систему не должен происходить дважды. В любом случае, было бы неплохо посмотреть.

Насколько я понимаю, ваша интрасеть на самом деле не интрасеть. Он выглядит так же, как любой другой веб-сайт, но только защищен с помощью аутентификации AD. Интранет действительно должен быть внутренним, а не выходить в Интернет, как сейчас. Безопасный способ доступа к нему должен заключаться в использовании VPN-туннеля к сети вашей компании, а затем переход к веб-адресу IIS вашего внутреннего сервера. Поправьте меня если я ошибаюсь...