VA智能网关介绍
近期,针对网络服务器的攻击事件有明显的增加。比如:勒索病毒,它的攻击方式也开始多样化,原来通过邮件、程序木马、网页挂马等方式过渡到端口攻击,因此远程服务端口(微软RDP端口)相关的应用软件也成了攻击对象,对应的包括金蝶远程接入、VA远程应用、金万维异速联等都可能成为成攻击对象,从反馈情况看,金蝶软件更是因为“云应用”及小用户用户数量多,安全意识薄弱等成了重灾区。
针对这种情况,益和VA远程应用系统也针对此网络安全的风险及时进行了研发改进,并于近日完成了VA网关功能,确保在操作简单、功能无缝延续等特性上解决益和VA远程应用系统保护内的服务器免受勒索病毒的攻击。
VA(VAGate)网关作用
VA网关独立运行于VA远程应用系统外的程序,通过实现封闭微软远程服务端口(包括其他远程软件),免于攻击软件对服务器相应端口的攻击,而对VA远程应用系统的使用完全没有影响。
目前国内已有的远程接入软件都需要开放至少一个远程接入端口,而加入VA网关后的网络不需要开放任何远程接入端口,只需要开放一个无关的WEB端口就可以实现VA远程接入,从而真正解决目前勒索病毒对远程接入端口的扫描和攻击。
VA网关使用效果
- VA网关使用后在互联网上仅仅需要一个端口(非远程端口),就可以实现VA软件的正常使用。
- VA应用服务器的全部通讯都需要在网关上重新加密、授权后,才能转发至对应的服务器
- 避兔了网络针对远程接入协议的远程攻击
VA网关的特点
- VA网关被设计为选配件与原系统紧密配台,且向下兼容原VA系统;
- VA网关只能和VA服务器结合使用,其他接入软件无法使用;
- 安装和部属VA网关至少需要VA 6.3以上版本;
- 建议只映射-个端口,标准的远程桌面客户因协议已经被加密将不能连接服务器(安全所需),对服务器桌面的访问只能通过VA发布的桌面进行。
使用方法及配置
- 安装方法
使用VA网关功能,需要服务端和客户端版本均为6.3及以后的版本,新环境初始通过安装包安装时,勾选开启VA网关功能即可, 若已安装旧版本程序,需要先卸载旧版本后在进行安装。
- VA安装示例
安装包:VASetup_6.3.0.8104.exe
全新安装选项下,勾选 启用VA智能网关
填写VA网关端口,一般使用默认的即可,注意网关端口不能和集群端口和VAP端口相同。
安装完成后,点击退出。
- EAA安装示例
安装包:EAA_Setup_6.3.0.8104.exe
勾选 启用VA智能网关,填写VA网关端口,一般使用默认的即可,注意网关端口不能和集群端口相同。
安装完成后,点击退出。
- AR客户端安装
客户端使用对应的安装包安装即可,无需特殊设置。
- 检查VA网关是否启用
打开服务端任务管理,查找进程 vagate32.exe,如果进程存在,则说明VA网关已经正常启动。
- AR客户端登录:
登陆时,由原来的填写集群端口改为填写VA网关端口,其他不变。
登录集群后,通过执行应用,检查应用的启动参数(按住键盘的Ctrl+ALT按键后执行应用)
VaGate=1 表示此客户端是通过VA网关进行连接。
- 如何关闭VA网关功能
停止VA集群服务(Adv eHeSHL Service),打开集群配置文件VaServer.ini,更改配置项 VaGateAutoStart=0,保存配置文件,重启服务器即可。
配置文件路径:
win xp\2003:
C:\Documents and Settings\All Users\Application Data\VA\CFG
win 7\8\10:
C:\ProgramData\VA\CFG
- 升级建议:
新环境服务端,直接安装新版本程序,客户端配套使用新版程序,只映射VA网关端口即可。
已安装旧版本的服务端,建议先升级至新版,开启VA网关功能后,增加VA网关的端口映射,客户端可逐步替换至新版程序,待客户端都替换完毕后,删除原来集群和VAP端口的映射配置,保留VA网关的映射即可。