Настройка Citrix Metaframe под Windows 2000 Termanal Services

         

Размещение терминальных серверов в сети


При размещении вы должны учитывать наличие межсетевых экранов, каналов передачи данных.

Рекомендуется размещать серверы в вашей локальной сети или в приватной части межсетевой системы. Если вы хотите открыть доступ через межсетевой экран, то должны открыть порт 3389.

Межсетевые экраны бывают двух типов: основанные на фильтрации приложений, и основанные на фильтрации сетевых пакетов. Фильтры приложений могут не иметь фильтров для протокола RDP. Пакетные фильтры позволяют создавать правила на основе протокола и номера порта. Поэтому вы сразу можете настроить фильтры на протокол RDP.

Для эффективной защиты терминального сервера вы должны правильно настроить демилитаризованную зону (DMZ):

  • Траффик из Интернет в DMZ разрешается только через порт 3389.
  • Траффик из DMZ в Интернет разрешается через порт 3389 и через другие необходимые порты, например, 80.
  • Траффик из DMZ во внутреннюю сеть должен быть ограничен портом 3389, а также, возможно, портами доменной аутентификации и портами поддержки специфических функций, например, WINS. Эти правила должны быть двунаправленными.

Это минимальная настройка безопасность для DMZ и не учитывает всех конкретных особенностей.

Проблемы с пропускной способностью могут быть решены тремя способами. Самый простой из них - это модернизация сетевых адаптеров и разбиение сети на сегменты с использованием маршрутизаторов.

Многие из современных коммутаторов поддерживают Gigabit Ethernet. Хотя вряд ли вы подведете Gigabit Ethernet к вашим серверам, будет неплохо реализовать его хотя бы между коммутаторами.



Содержание раздела