長假期間保證企業(yè)網(wǎng)絡(luò)安全遠程管理

申請免費試用、咨詢電話：400-8352-114

眼下沒幾天就是春節(jié)了，節(jié)日期間公司的IT人員也許會輪班，但大部分再也不用整日和網(wǎng)絡(luò)打交道了。雖然休假了，但公司的網(wǎng)絡(luò)還要運維。當前大家最關(guān)心的就是對網(wǎng)絡(luò)的遠程維護，如何坐鎮(zhèn)家中運籌帷幄決勝千里呢？也許大家都有自己的方法，不過有不少客戶向我討教遠維方案，那么就和大家分享一下自己的經(jīng)驗。

1.遠程維護的原則

采用何種遠維方案可謂見仁見智，并且不同的公司有不同的安全需求和硬件前提。毫無疑問，遠程維護不同于本地運維采用什么樣的遠維方案應(yīng)該有一個基本的原則。安全和方便應(yīng)該是選擇遠維方案的出發(fā)點。

遠維首先要保證安全性，不管是內(nèi)網(wǎng)還是外網(wǎng)的遠控要保證控制端與被控端的唯一性。也就是說，要預(yù)防第三端的介入，杜絕“第三人”的參與。要做到這一點，在被控端要做好安全部署（比如關(guān)閉多余端口、IP過濾、控制列表等），以防未經(jīng)授權(quán)的惡意控制。另外，遠控方式的安全性也要保證（比如對數(shù)據(jù)進行加密等），以防“中間人”的嗅探。

遠維的方便性這個很好理解，也是IT人員追求的目標。方便性應(yīng)該包括兩個方面的含義，一是操作上的便利，能夠以最快的速度實施遠程維護，二是遠維較少受外界因素的限制（比如地理位置、軟硬件設(shè)備等），可以隨時隨地的進行遠維。選擇方便的遠維方案，不僅提高了工作效率，而且保證了假日的質(zhì)量。

2.可選的遠維方案

其實，在遠維中安全和簡單是很難全面兼顧的。它只能作為一個原則，在實際操作中大家可結(jié)合客觀條件和技術(shù)因素找到一個平衡點，選擇適合自己公司網(wǎng)絡(luò)的遠維方案。下面我提供幾個方案以供大家參考。

（1）VPN方案

VPN方案是我首先推薦的其理由有二：一VPN是系統(tǒng)集成的網(wǎng)絡(luò)連接方式，并且是跨平臺的（除了Windows系統(tǒng)，Unix/Linux也支持），而且一些主要的網(wǎng)絡(luò)設(shè)備（比如路由器、交換機等）都是支持VPN的。二VPN的連接方式非常簡單，與軟硬件無關(guān)?；谏厦娴脑颍戏奖阈缘囊?。在安全性上，VPN也有保障，比如可通過隧道技術(shù)（Tunneling）、 加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認證技術(shù)（Authentication）來保證。在實際應(yīng)用中，可采用SSL VPN以及IPsec等來實現(xiàn)。當前不少廠家推出了自己的VPN解決方案，這些方案在安全性和易用性方面有了很大的提高。如果你的公司采用了這樣的方案，那進行遠維就方便多了。

（2）專業(yè)遠維方案

現(xiàn)在有不少的廠家推出了專業(yè)的遠維方案，應(yīng)該說他們中的有些做得相當不錯，在安全性、易用性方面表現(xiàn)良好。這些遠維方案對網(wǎng)絡(luò)設(shè)備進行維護，既可以在設(shè)備的近端安裝客戶端實現(xiàn)，也可以在遠離設(shè)備的地方安裝客戶端實現(xiàn)。當然不僅能夠?qū)︻愃品?wù)器的節(jié)點進行維護，也可遠維路由器、交換機等網(wǎng)絡(luò)設(shè)備。顯而易見，這是需要公司投資的，而且需要在各個網(wǎng)絡(luò)節(jié)點進行部署，不宜推廣。如果你們公司有這樣的經(jīng)濟實力，一定要說服老總部署類似的方案，這能夠極大的減輕IT人員的網(wǎng)絡(luò)運維負擔。

（3）第三方軟件方案

可供大家選擇的用來遠控的第三方軟件非常多，應(yīng)該如何選擇呢？安全、穩(wěn)定是首先要考慮的，建議大家選擇知名大公司的相關(guān)軟件產(chǎn)品。提醒大家不要圖方便下載部署某些安全性不能保證的個人軟件，這些軟件中往往會被植入惡意插件甚至木馬；其次，由于技術(shù)因素軟件的穩(wěn)定性不能保證，一般有比較多的Bug。除了安全性，功能也是考量的一個因素。我的經(jīng)驗，不要追求太多的功能夠用就可以了，因為更多的功能意味著更大的危險。另外，需要注意在軟件部署中一定要做好安全設(shè)置，千萬不要保持默認的設(shè)置。類似這樣的第三方工具非常多，一些工具可對類似服務(wù)器這樣的網(wǎng)絡(luò)節(jié)點進行控制，另外還有一些工具可控制路由器/交換機等。一般這樣的第三方軟件是基于C/S模式的，需要進行服務(wù)端和客戶端的部署。建議大家事先做好部署，這樣在有遠維需求時就可直接使用了。

（4）其他方案

小規(guī)模的網(wǎng)絡(luò)當然沒有必要興師動眾地部署遠維系統(tǒng)、安裝遠維軟件了。Windows系統(tǒng)平臺用遠程桌面就可以了，不過需要進行相應(yīng)的安全設(shè)置。比如登錄帳戶的限制、密碼要足夠復(fù)雜，將3389端口更改等。Unix/Linux系統(tǒng)平臺，用Telnet登錄進行遠維。不過Telnet默認是明文傳輸數(shù)據(jù)，我建議才具有SSL功能的Telnet客戶端連接。在Unix/Linux端做好安全設(shè)置，限制用root遠程登錄，部署PAM認證、SU限制等等。此外，利用web桌面進行遠程維護也是不錯的選擇。路由器/交換機的遠維也可采用telnet方式，不過要在路由器/交換機上部署SSL，客戶端用支持SSL的telnet連接。其實，這些遠維方案相當簡單，安全性也不見得沒有保證，只要安全工作做好了也是非常好的方案。

當然了，遠維不僅是節(jié)日期間才有，是不過這段時間大家更為關(guān)注罷了。愿我的經(jīng)驗?zāi)軌驇椭蠹?，也祝愿大家假期過得愉快。（IT專家網(wǎng)）