Размещение терминальных серверов в сети
При размещении вы должны учитывать наличие межсетевых экранов, каналов передачи данных.
Рекомендуется размещать серверы в вашей локальной сети или в приватной части межсетевой системы. Если вы хотите открыть доступ через межсетевой экран, то должны открыть порт 3389.
Межсетевые экраны бывают двух типов: основанные на фильтрации приложений, и основанные на фильтрации сетевых пакетов. Фильтры приложений могут не иметь фильтров для протокола RDP. Пакетные фильтры позволяют создавать правила на основе протокола и номера порта. Поэтому вы сразу можете настроить фильтры на протокол RDP.
Для эффективной защиты терминального сервера вы должны правильно настроить демилитаризованную зону (DMZ):
- Траффик из Интернет в DMZ разрешается только через порт 3389.
- Траффик из DMZ в Интернет разрешается через порт 3389 и через другие необходимые порты, например, 80.
- Траффик из DMZ во внутреннюю сеть должен быть ограничен портом 3389, а также, возможно, портами доменной аутентификации и портами поддержки специфических функций, например, WINS. Эти правила должны быть двунаправленными.
Это минимальная настройка безопасность для DMZ и не учитывает всех конкретных особенностей.
Проблемы с пропускной способностью могут быть решены тремя способами. Самый простой из них - это модернизация сетевых адаптеров и разбиение сети на сегменты с использованием маршрутизаторов.
Многие из современных коммутаторов поддерживают Gigabit Ethernet. Хотя вряд ли вы подведете Gigabit Ethernet к вашим серверам, будет неплохо реализовать его хотя бы между коммутаторами.
