)
)
无代理远程访问可以减少终端摩擦,特别是当用户从未管理的笔记本电脑、平板电脑、承包商设备或受限工作站连接时。然而,IT团队仍然需要了解网关的运行位置、基于浏览器的访问可以和不能做什么,以及何时VPN、RD网关、ZTNA或VDI更合适。
对于中小企业的IT管理员、MSP和系统管理员来说,目标不仅仅是避免安装。目标是提供 安全、可管理且具有成本效益 远程访问而不产生隐藏的操作风险。
什么是无代理远程访问?
定义:
无代理远程访问是一种远程连接模型,其中用户或受管端点不需要为每个访问会话添加持久软件代理。在实践中,供应商以不同方式使用该术语,因此IT团队在选择平台之前应澄清无代理实际上指的是什么。
无代理:
- 一些产品使用“无代理”来表示最终用户设备只需要一个浏览器。
- 其他人用它来表示目标服务器或工作站不需要本地安装代理。
- 第三类是指通过标准协议查询系统而不是安装的收集器的监控或发现工具。
远程访问桌面和应用程序:
对于远程桌面和应用程序交付,最有用的定义是实用的:
无代理远程软件减少或消除客户端安装,同时将访问堆栈集中在网关、门户或服务器上。
无代理、无客户端、基于浏览器:关键区别
这些是相关但不相同的。
无代理远程访问:
无代理远程访问通常意味着在连接的一侧不需要持久代理。
无客户端远程访问:
无客户端远程访问意味着用户不需要本地客户端、插件或扩展。
基于浏览器的远程访问:
基于浏览器的远程访问意味着会话通过网页浏览器交付,通常 使用HTML5 .
示例:
基于浏览器的远程桌面网关是一个常见的例子。用户打开一个安全的 URL,进行身份验证,选择一个应用程序或桌面,并在浏览器中启动会话。网关在后台处理协议转换、身份验证流程和会话路由。
为什么这个术语对IT决策者很重要?
术语很重要,因为“无安装”并不意味着“无基础设施”。基于浏览器的远程访问服务仍然需要身份验证、加密、身份映射、会话代理、访问策略、日志记录和服务器端维护。
这种区分对于系统管理或中小企业和托管服务提供商尤其重要。对于一个用户看起来简单的工具,如果缺乏基于组的访问、会话配置、多因素身份验证、IP限制、审计日志和服务器监控,在大规模使用时可能会变得难以安全。
因此,最好的问题不是“这是无代理的吗?”。而是问:“访问控制在哪里,IT将如何保护、监控和支持它?”
无代理远程访问是如何工作的?
无代理远程访问通常依赖于用户与内部资源之间的中央访问点。该访问点可以是一个网络门户、HTML5远程桌面网关、RD网关、ZTNA代理、VPN集中器或远程支持中继。
- 用户对访问层进行身份验证。
- 访问层检查身份、策略和资源权限。
- 然后它将用户连接到远程应用程序、完整桌面、服务器控制台或支持会话。
这种设计减少了对用户设备配置的依赖,但增加了对网关加固和服务器安全的重要性。如果网关暴露在互联网上,则必须将其视为关键的生产组件。
基于浏览器的远程访问
基于浏览器的远程访问是终端用户最常见的无代理访问形式之一。浏览器成为用户界面,而网关使用远程桌面协议(RDP)、虚拟网络计算(VNC)或安全外壳(SSH)等协议与远程主机进行通信。
微软 远程桌面网页客户端 允许用户通过兼容的浏览器访问管理员发布的远程应用程序和桌面。微软还指出,用户需要一个受支持的浏览器和管理员提供的 URL。
另一个例子是如何 Apache Guacamole 描述自己为一个无客户端的远程桌面网关,支持标准协议如RDP、VNC和SSH,安装网关后无需插件或客户端软件。
对于IT团队来说,架构模式很清晰:浏览器只是前端。远程访问堆栈仍然运行在服务器、网关和身份系统上。
RDP、RD 网关和 VPN 的背景
RDP
远程桌面协议通常用于交付Windows桌面和应用程序。在安全架构中,RDP不应直接暴露在互联网上。相反,IT团队应在内部资源前放置一个受控访问层。
RD 网关
RD Gateway 是微软的网关角色,用于将外部用户的 RDP 流量路由到内部 Windows 资源。它允许远程用户通过 HTTPS 连接,而不是为每个主机打开直接的 RDP 访问。
VPN
虚拟私人网络(VPN)使用隧道和加密技术在公共网络上扩展私人网络访问。VPN 在网络级访问中仍然有用,但它们通常提供比用户单个应用程序或桌面所需的更广泛的连接。
用于目的的工具
无代理访问和VPN访问因此解决不同的问题:发布特定资源与扩展网络覆盖。RD网关安全地中介RDP。ZTNA工具根据身份和上下文强制执行应用程序级访问。
网关的位置
在基于浏览器的模型中,网关应位于外部用户和内部会话主机之间。外部用户通过 HTTPS 连接到网关。然后,网关通过批准的内部协议连接到内部桌面、应用程序或服务器。
此放置有助于 减少远程主机的直接暴露 它还为 IT 提供了一个地方来强制执行身份验证、证书策略、访问规则和日志记录。
然而,网关成为了一个高价值的目标。IT团队应通过强身份验证、TLS证书、补丁管理、限制管理访问、适当的地理封锁和监控来保护它。
无代理远程访问的主要好处是什么?
无代理远程访问具有吸引力,因为它减少了用户和IT管理员的摩擦。当访问场景定义明确时,例如发布的业务应用程序、承包商访问、偶尔的远程工作或支持工作流程,优势最为明显。
减少终端摩擦
最明显的好处是更简单的入职流程。用户在连接之前无需安装完整的远程桌面客户端、VPN 客户端或自定义启动器。这对承包商、外部会计、临时员工、学生、外勤人员和自带设备用户非常有用。
对于IT团队来说,较少的终端依赖意味着较少的支持工单。当用户在无法安装软件的设备上工作时,例如被锁定的公司笔记本电脑或共享工作站,基于浏览器的访问也会有所帮助。
这并不能消除所有终端风险。浏览器、设备健康和用户身份仍然很重要。然而,它可以减少维护许多客户端配置的操作负担。
承包商和自带设备用户的更快访问
无代理远程访问对于第三方访问特别有用。
基于需求和使用的访问
外部用户通常需要对特定应用程序、服务器或支持会话的有限访问。他们不应默认获得广泛的网络访问权限。对于混合工作管理者,同样的逻辑适用于需要偶尔访问集中式Windows应用程序的员工。
欢迎适应性
浏览器门户只能发布用户角色所需的资源。
当合同结束或支持案例关闭时,可以集中撤销访问权限。
最后,一个 基于浏览器的体验 可以比完整的VPN和桌面客户端部署更容易支持。
集中访问控制
无代理远程软件可以在围绕中央门户设计时简化访问控制。IT团队可以按用户或组分配应用程序、桌面和权限。他们还可以为身份验证、工作时间、IP地址或国家应用政策。
集中化对管理多个客户环境的MSP来说是有价值的。一致的访问模式减少了变异性,使文档编制更容易。
它还支持更好的安全审查。IT可以专注于网关配置、发布的资源、账户权限和会话日志,而不是审计许多终端客户端。
IT团队应该了解哪些限制?
无代理远程访问是有用的,但和任何事物一样,它并不总是理想的模型。决策者应该在替换VPN、本地RDP客户端、远程支持代理或VDI平台之前了解其局限性。
浏览器限制
全面访问和机动性
浏览器会话可能无法与本地客户端的完整体验相匹配。多显示器支持、高级打印、USB重定向、文件传输、剪贴板行为、音频质量和键盘快捷键可能因产品和浏览器而异。
强大的软件或媒体需求等
一些用户需要高性能图形、CAD工具、媒体工作流程或低延迟输入。这些用户可能更适合使用本地远程桌面客户端、专用流媒体协议或完整的VDI平台。
手持设备,如智能手机和平板电脑
移动访问也需要关注。一个解决方案可能在移动浏览器中有效,但这并不意味着用户体验适合日常工作。小屏幕、触控输入和外部键盘行为可能会影响生产力。
安全误解
无代理并不自动意味着安全。配置不当的网络门户可能会使身份验证页面、会话代理或内部应用程序面临攻击风险。
远程办公、远程访问和自带设备(BYOD)技术的所有组件 应对预期威胁进行安全防护 这包括客户端设备、网关、内部主机和策略控制。
对于远程访问,安全应包括多因素身份验证、TLS、最小权限、账户锁定、IP过滤、暴力破解保护、日志记录和补丁管理。IT团队还应避免将3389端口直接暴露于互联网。
性能和用户体验的权衡
基于浏览器的远程访问取决于浏览器、网关、网络路径、会话主机和应用程序负载。慢速会话可能来自这些层中的任何一个。
性能问题通常表现为显示延迟、打印缓慢、文件操作延迟或音频问题。这些问题并不总是由远程访问产品本身引起的。它们可能反映服务器容量、带宽、延迟、DNS、证书检查或过载的会话主机。
这就是监控重要的原因。如果IT团队无法看到CPU、内存、磁盘、会话数量和用户活动,故障排除就变成了猜测。
无代理远程访问决策清单
在选择无代理远程访问架构之前,IT团队应当映射使用案例、风险级别和所需的用户体验。
| 问题 | 选择无代理或基于浏览器的访问时 | 考虑其他模型时 |
|---|---|---|
| 谁在连接? | 承包商、BYOD 用户、偶尔用户或外部合作伙伴 | 高级用户需要完整的工作站集成 |
| 他们需要什么? | 一个应用程序,一个桌面或有限的资源集 | 需要广泛的网络访问 |
| 什么终端控制存在? | 设备未管理或被锁定 | 企业管理的设备可以运行本地客户端 |
| 需要什么安全措施? | 多因素身份验证、HTTPS、基于组的访问和日志记录就足够了 | 设备姿态、先进的条件访问或完全隔离是必需的 |
| 需要什么性能? | 办公应用程序、ERP、CRM或传统Windows应用程序 | CAD、视频、图形或非常低延迟的工作流程 |
| IT支持它的方式是什么? | 中央门户和监控可用 | IT需要持续的无人值守终端控制 |
此检查表有助于将便利性与架构区分开来。当IT希望将受控资源发布给用户而不广泛暴露网络时,无代理访问是最强的。
无代理远程软件的基于浏览器的替代方案怎么样?
无代理远程访问并不是一个单一的产品类别。它与几种技术重叠,每种技术都有不同的优势。
HTML5 RDP 网关
HTML5 RDP 网关 通过浏览器交付Windows桌面或应用程序。它们对于集中式Windows应用程序交付、遗留应用程序发布和承包商访问非常有用。
主要优点是用户的简单性,而主要挑战是确保网关安全、受监控并能够支持预期的工作负载。
该模型通常非常适合需要应用程序发布而不需要Citrix级复杂性的中小型企业。
VPN, ZTNA 和 VDI
VPNs 扩展网络访问。它们对管理员、站点到站点的连接以及用户需要多个内部服务的情况仍然很有用。然而,如果政策没有严格限制,VPN 可能会提供超过必要的访问权限。
零信任网络访问 或 ZTNA,专注于基于身份的特定应用程序访问,而不是网络段。 ZTNA 对于第三方访问和私有 Web 应用程序可能有效,但它可能无法替代完整的远程桌面或 Windows 应用程序交付。
虚拟桌面基础设施 或VDI,集中管理完整的桌面环境。VDI对于标准化的企业桌面非常强大,但对于只需要发布少量Windows应用程序的中小型企业来说,它可能成本高昂且复杂。
远程支持工具
远程支持和技术协助工具解决了不同的问题。它们允许支持人员查看或控制最终用户设备以进行故障排除、培训或维护。
某些远程支持工作流程是由浏览器发起的,但无人值守的维护可能仍需要安装组件或持久配置。这并不是一个弱点,而是反映了不同的使用场景。
IT团队应将应用程序访问与支持访问分开。员工需要对业务应用程序的受控访问。支持人员需要安全工具来协助用户并维护设备。
如何满足无代理远程访问需求的TSplus
TSplus 为中小企业和管理服务提供商提供了一个实用的折中方案:安全的远程访问和应用交付,而无需大型 VDI 平台的成本和复杂性。
TSplus Remote Access:用于应用程序和桌面出版
TSplus Remote Access 使 IT 团队能够通过安全的网络门户发布完整的远程桌面或单个 Windows 应用程序。用户可以通过 HTML5 客户端从浏览器访问集中式工具,或者使用其他连接模式,在这些模式下,原生体验更为合适。
这种灵活性很重要,因为并不是每个用户都需要相同的访问方式。承包商可能只需要对一个应用程序的基于浏览器的访问。内部员工可能更喜欢RemoteApp风格的体验。高级用户可能需要完整的桌面。
TSplus Remote Access 帮助 IT 团队将传统 Windows 应用程序进行网络化,而无需重写它们。对于中小型企业来说,这通常是实现现代远程访问的最直接途径:集中应用程序,安全发布,并控制谁可以连接。
远程用户的RDP或应用程序发布故障排除? 获取引导演示 的 TSplus Remote Access。
TSplus高级安全和多因素认证:用于安全应用服务器和访问
无代理远程访问应始终与强大的安全控制相结合。
360° 安全变得简单
TSplus Advanced Security 通过暴力攻击保护、IP 过滤和端点保护策略等功能,帮助保护面向公众的远程访问环境。
MFA 附加组件以增强登录安全性
TSplus MFA 附加组件 增强身份安全 通过要求额外的身份验证因素。这在用户从未管理的设备或外部网络连接时尤其重要。
这些控制措施共同帮助减少常见的远程访问风险:凭证攻击、未经授权的地理位置、重复失败的登录尝试和过度暴露的入口点。
TSplus 服务器监控和远程支持
简单实时服务器和网络监控
TSplus Server Monitoring 使 IT 团队能够查看服务器健康状况、网站、应用程序和用户活动。这帮助管理员在用户报告广泛问题之前,检测到过载的会话主机、性能下降和异常的远程访问使用情况。
远程支持简单易行
TSplus Remote Support 通过提供有人和无人值守的帮助来补充远程访问。支持团队可以排查用户设备的问题,协助远程员工,并在不混合支持工作流程与应用程序发布的情况下维护终端。
更简单的架构和管理的流畅性
对于MSP、系统管理员以及SaaS或DaaS提供商,这些产品结合在一起,形成一个软件套件,省去了繁琐和摩擦。将业务应用程序发布到网络,保护服务器和访问层,跟踪基础设施健康状况,并使代理能够快速从任何地方解决用户问题。
结论
无代理远程访问可以 简化远程工作 承包商访问和应用交付,但不应仅将其评估为“无安装”功能。IT团队需要了解完整的架构:浏览器、网关、身份、会话主机、安全控制和监控。
对于许多团队来说,最佳方法不是一个庞大的VDI平台或广泛的VPN。一个基于浏览器的远程访问门户,受到强身份验证保护并进行集中监控,可以提供可用性、安全性和成本控制之间的正确平衡。
帮助您的IT团队与TSplus达到平衡,并通过更好的投资回报率扩展远程访问。与TSplus专家交谈。
TSplus远程访问免费试用
终极的Citrix/RDS替代方案,用于桌面/应用访问。安全、经济高效、本地/云端
)
)
)
