Доступ к нашей внутренней сети вне нашей сети - БЕЗ VPN

Question

Доступ к нашей внутренней сети вне нашей сети - БЕЗ VPN

Мы только что обновили интрасеть нашей компании с базы IIS, ASP (плохо написано) сервера / кода на сервер Windows Server 2008 r2 (Apache/MySQL/PHP).

Старый сервер позволял пользователям входить в intranet.xxx.org, используя там AD user/pass, который затем приводил их в интранет компании практически из любого места, где у них был доступ в Интернет.

Мы хотим имитировать эту функциональность (или изменить ее на что-то более безопасное) с новой настройкой.

Это было похоже на настройку для внешних сотрудников, работающих в государственной сети. Сеть состояний не разрешает VPN, поэтому нам нужен был способ, позволяющий этим сотрудникам получить доступ к интрасети.

Итак, как нам разрешить пользователям входить из внешнего мира и получать доступ к нашей интрасети?

0

apache-2.2 windows-server-2008-r2 intranet

Источник

westexasman 06 июн '12 в 15:53

2 ответа

Решение

Насколько я понимаю, ваша интрасеть действительно не является интранетом. Кажется, что он похож на любой другой веб-сайт, но защищен только через аутентификацию AD. Интранет должен быть действительно внутренним, а не выходить в Интернет, как у вас сейчас. Безопасный способ получить к нему доступ - использовать VPN-туннель к сети вашей компании, а затем перейти к веб-адресу IIS вашего внутреннего сервера. Поправьте меня если я ошибаюсь...

0

Источник

rvaitguy 06 июн '12 в 16:00

Другие вопросы по тегам apache-2.2 windows-server-2008-r2 intranet

Brent Pabst 06 июн '12 в 16:35 2012-06-06 16:35 · Accepted Answer · 2012-06-06 16:35

Если новая "экстрасеть" (лучше описывает ваш сайт) не доступна с общедоступного маршрутизируемого IP, вы должны предоставить какой-нибудь метод удаленного доступа или туннелирования, чтобы "включиться" в сеть, а затем подтянуть сайт вверх.

Тем не менее, вы могли бы пойти по одному из этих маршрутов...

Работайте с людьми из государственной сети, получайте доступ к VPN, кажется, этого не произойдет, но вы никогда не узнаете.
Используйте какой-нибудь пограничный / прокси-сервер, который может сидеть в общедоступном Интернете и передавать запросы на ваш внутренний сервер. Это дает вам настоящий сайт интрасети с механизмом экстрасети, чтобы попасть на сайт интрасети.
Направьте ваш сайт интрасети в общедоступную сеть снова, как это было раньше... решает проблему наверняка!
Кроме того, вы можете также захотеть изучить добавление ADFS (Службы федерации Active Directory) в смесь, это может помочь вам в долгосрочной перспективе с безопасными токенами. Опять же, в сочетании с вариантом 2, пользователь получит простую страницу входа в систему на основе форм, и в случае успеха он будет перенаправлен на ваш сайт интрасети вместе с безопасным токеном, поэтому вход в систему не будет повторяться дважды. В любом случае, было бы неплохо разобраться.