Ngày đăng: Th07 08, 2026 - 42 Lượt xem

Làm việc từ xa đã trở thành nhu cầu phổ biến trong hầu hết các doanh nghiệp. Nhân viên có thể cần truy cập hệ thống từ nhà, khách sạn, quán cà phê hoặc khi đang công tác. Tuy nhiên, việc mở trực tiếp cổng RDP (TCP 3389) ra Internet luôn tiềm ẩn nhiều rủi ro bảo mật.
Đó là lý do Microsoft cung cấp Remote Desktop Gateway (RD Gateway), một thành phần của Remote Desktop Services (RDS) giúp người dùng truy cập tài nguyên nội bộ một cách an toàn thông qua giao thức HTTPS.
RD Gateway Là Gì?
RD Gateway là một Role Service của Remote Desktop Services, hoạt động như một cổng kết nối an toàn giữa Internet và hệ thống RDS bên trong doanh nghiệp. Thay vì kết nối trực tiếp đến máy chủ Remote Desktop, người dùng sẽ kết nối tới RD Gateway bằng HTTPS (TCP 443).
Quy Trình Hoạt Động Diễn Ra Như Sau:
- Người dùng từ Internet kết nối đến RD Gateway qua HTTPS.
- RD Gateway xác thực người dùng và kiểm tra các chính sách truy cập.
- Sau khi được phép, RD Gateway chuyển tiếp lưu lượng RDP đến RD Session Host hoặc các máy chủ được chỉ định trong mạng nội bộ.
Nhờ vậy, cổng RDP 3389 không cần phải công khai trên Internet.
Vì Sao RD Gateway Quan Trọng?
Ngày nay, người dùng không chỉ làm việc trong văn phòng mà còn truy cập hệ thống từ nhiều địa điểm và nhiều loại thiết bị khác nhau như laptop, máy tính bảng hoặc điện thoại. Một giải pháp truy cập từ xa hiện đại cần đáp ứng nhiều yêu cầu:
- Mã hóa toàn bộ lưu lượng truyền.
- Sử dụng giao thức chuẩn dễ triển khai qua firewall.
- Kiểm soát người dùng nào được phép kết nối.
- Kiểm soát người dùng được phép truy cập máy chủ nào.
- Theo dõi và ghi nhận các phiên kết nối.
- Hỗ trợ triển khai dự phòng (High Availability).
- Có thể tích hợp thêm các cơ chế xác thực như MFA.
Đây chính là những bài toán mà RD Gateway được thiết kế để giải quyết.
Kiến Trúc Hoạt Động
Trong một hệ thống RDS, RD Gateway thường kết hợp với:
- Active Directory Domain Services (AD DS) để xác thực người dùng.
- Network Policy Server (NPS) để áp dụng các chính sách truy cập.
- RD Session Host hoặc RD Virtualization Host là nơi cung cấp desktop hoặc ứng dụng.
- Các máy chủ RDP khác trong mạng nội bộ nếu cần.
RD Gateway đóng vai trò là điểm vào (Entry Point) duy nhất cho tất cả các kết nối từ Internet, giúp đơn giản hóa việc bảo vệ hệ thống.
RD CAP Và RD RAP
Một trong những ưu điểm lớn nhất của RD Gateway là khả năng kiểm soát truy cập rất chi tiết thông qua hai loại chính sách.

RD CAP (Remote Desktop Connection Authorization Policy)
Quyết định ai được phép kết nối đến RD Gateway. Chính sách này thường dựa trên User hoặc Group trong Active Directory, phương thức xác thực, và thiết bị được phép sử dụng.
RD RAP (Remote Desktop Resource Authorization Policy)
Sau khi người dùng vượt qua RD CAP, RD RAP sẽ quyết định người dùng được phép truy cập máy tính hoặc tài nguyên nào trong mạng nội bộ.
Các Chính Sách Bổ Sung
Ngoài việc kiểm soát người dùng và tài nguyên, RD Gateway còn hỗ trợ nhiều giới hạn khác như:
- Session Timeout.
- Idle Timeout.
- Quy định Port được phép sử dụng.
- Chính sách chuyển hướng (Redirection).
- Ghi nhật ký và theo dõi toàn bộ phiên kết nối.
Điều Kiện Để Truy Cập
Để truy cập thông qua RD Gateway, người dùng phải đồng thời thỏa mãn:
- Chính sách RD CAP.
- Chính sách RD RAP.
Nếu chỉ đạt một trong hai điều kiện, kết nối vẫn sẽ bị từ chối. Theo mặc định, các chính sách này được lưu cục bộ trên máy chủ RD Gateway, nhưng cũng có thể tích hợp với Network Policy Server (NPS) để quản lý tập trung.
Lợi Ích Của RD Gateway
So với việc mở trực tiếp cổng RDP ra Internet, RD Gateway mang lại nhiều lợi ích:
- Chỉ cần mở HTTPS (TCP 443) trên firewall thay vì TCP 3389.
- Mã hóa toàn bộ lưu lượng bằng TLS/SSL.
- Kiểm soát chi tiết người dùng và tài nguyên được phép truy cập.
- Ghi nhật ký và giám sát các phiên kết nối.
- Dễ triển khai cùng các giải pháp xác thực đa yếu tố (MFA).
- Hỗ trợ triển khai dự phòng để đảm bảo tính sẵn sàng cao.
Kết Luận
Trong môi trường doanh nghiệp hiện đại, việc cho phép người dùng truy cập từ xa là nhu cầu tất yếu, nhưng cũng đặt ra nhiều thách thức về bảo mật. RD Gateway giải quyết bài toán này bằng cách cung cấp một điểm truy cập tập trung, an toàn và được kiểm soát chặt chẽ. Kết hợp với RD CAP và RD RAP, doanh nghiệp có thể kiểm soát chính xác ai được kết nối và được phép truy cập tài nguyên nào, đồng thời tránh phải công khai trực tiếp cổng RDP ra Internet, giảm đáng kể nguy cơ bị dò quét và tấn công.