長(zhǎng)假期間保證企業(yè)網(wǎng)絡(luò)安全遠(yuǎn)程管理

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

眼下沒(méi)幾天就是春節(jié)了，節(jié)日期間公司的IT人員也許會(huì)輪班，但大部分再也不用整日和網(wǎng)絡(luò)打交道了。雖然休假了，但公司的網(wǎng)絡(luò)還要運(yùn)維。當(dāng)前大家最關(guān)心的就是對(duì)網(wǎng)絡(luò)的遠(yuǎn)程維護(hù)，如何坐鎮(zhèn)家中運(yùn)籌帷幄決勝千里呢？也許大家都有自己的方法，不過(guò)有不少客戶向我討教遠(yuǎn)維方案，那么就和大家分享一下自己的經(jīng)驗(yàn)。

1.遠(yuǎn)程維護(hù)的原則

采用何種遠(yuǎn)維方案可謂見(jiàn)仁見(jiàn)智，并且不同的公司有不同的安全需求和硬件前提。毫無(wú)疑問(wèn)，遠(yuǎn)程維護(hù)不同于本地運(yùn)維采用什么樣的遠(yuǎn)維方案應(yīng)該有一個(gè)基本的原則。安全和方便應(yīng)該是選擇遠(yuǎn)維方案的出發(fā)點(diǎn)。

遠(yuǎn)維首先要保證安全性，不管是內(nèi)網(wǎng)還是外網(wǎng)的遠(yuǎn)控要保證控制端與被控端的唯一性。也就是說(shuō)，要預(yù)防第三端的介入，杜絕“第三人”的參與。要做到這一點(diǎn)，在被控端要做好安全部署（比如關(guān)閉多余端口、IP過(guò)濾、控制列表等），以防未經(jīng)授權(quán)的惡意控制。另外，遠(yuǎn)控方式的安全性也要保證（比如對(duì)數(shù)據(jù)進(jìn)行加密等），以防“中間人”的嗅探。

遠(yuǎn)維的方便性這個(gè)很好理解，也是IT人員追求的目標(biāo)。方便性應(yīng)該包括兩個(gè)方面的含義，一是操作上的便利，能夠以最快的速度實(shí)施遠(yuǎn)程維護(hù)，二是遠(yuǎn)維較少受外界因素的限制（比如地理位置、軟硬件設(shè)備等），可以隨時(shí)隨地的進(jìn)行遠(yuǎn)維。選擇方便的遠(yuǎn)維方案，不僅提高了工作效率，而且保證了假日的質(zhì)量。

2.可選的遠(yuǎn)維方案

其實(shí)，在遠(yuǎn)維中安全和簡(jiǎn)單是很難全面兼顧的。它只能作為一個(gè)原則，在實(shí)際操作中大家可結(jié)合客觀條件和技術(shù)因素找到一個(gè)平衡點(diǎn)，選擇適合自己公司網(wǎng)絡(luò)的遠(yuǎn)維方案。下面我提供幾個(gè)方案以供大家參考。

（1）VPN方案

VPN方案是我首先推薦的其理由有二：一VPN是系統(tǒng)集成的網(wǎng)絡(luò)連接方式，并且是跨平臺(tái)的（除了Windows系統(tǒng)，Unix/Linux也支持），而且一些主要的網(wǎng)絡(luò)設(shè)備（比如路由器、交換機(jī)等）都是支持VPN的。二VPN的連接方式非常簡(jiǎn)單，與軟硬件無(wú)關(guān)。基于上面的原因，它符合方便性的要求。在安全性上，VPN也有保障，比如可通過(guò)隧道技術(shù)（Tunneling）、 加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）來(lái)保證。在實(shí)際應(yīng)用中，可采用SSL VPN以及IPsec等來(lái)實(shí)現(xiàn)。當(dāng)前不少?gòu)S家推出了自己的VPN解決方案，這些方案在安全性和易用性方面有了很大的提高。如果你的公司采用了這樣的方案，那進(jìn)行遠(yuǎn)維就方便多了。

（2）專業(yè)遠(yuǎn)維方案

現(xiàn)在有不少的廠家推出了專業(yè)的遠(yuǎn)維方案，應(yīng)該說(shuō)他們中的有些做得相當(dāng)不錯(cuò)，在安全性、易用性方面表現(xiàn)良好。這些遠(yuǎn)維方案對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)，既可以在設(shè)備的近端安裝客戶端實(shí)現(xiàn)，也可以在遠(yuǎn)離設(shè)備的地方安裝客戶端實(shí)現(xiàn)。當(dāng)然不僅能夠?qū)︻愃品?wù)器的節(jié)點(diǎn)進(jìn)行維護(hù)，也可遠(yuǎn)維路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備。顯而易見(jiàn)，這是需要公司投資的，而且需要在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行部署，不宜推廣。如果你們公司有這樣的經(jīng)濟(jì)實(shí)力，一定要說(shuō)服老總部署類似的方案，這能夠極大的減輕IT人員的網(wǎng)絡(luò)運(yùn)維負(fù)擔(dān)。

（3）第三方軟件方案

可供大家選擇的用來(lái)遠(yuǎn)控的第三方軟件非常多，應(yīng)該如何選擇呢？安全、穩(wěn)定是首先要考慮的，建議大家選擇知名大公司的相關(guān)軟件產(chǎn)品。提醒大家不要圖方便下載部署某些安全性不能保證的個(gè)人軟件，這些軟件中往往會(huì)被植入惡意插件甚至木馬；其次，由于技術(shù)因素軟件的穩(wěn)定性不能保證，一般有比較多的Bug。除了安全性，功能也是考量的一個(gè)因素。我的經(jīng)驗(yàn)，不要追求太多的功能夠用就可以了，因?yàn)楦嗟墓δ芤馕吨蟮奈ｋU(xiǎn)。另外，需要注意在軟件部署中一定要做好安全設(shè)置，千萬(wàn)不要保持默認(rèn)的設(shè)置。類似這樣的第三方工具非常多，一些工具可對(duì)類似服務(wù)器這樣的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行控制，另外還有一些工具可控制路由器/交換機(jī)等。一般這樣的第三方軟件是基于C/S模式的，需要進(jìn)行服務(wù)端和客戶端的部署。建議大家事先做好部署，這樣在有遠(yuǎn)維需求時(shí)就可直接使用了。

（4）其他方案

小規(guī)模的網(wǎng)絡(luò)當(dāng)然沒(méi)有必要興師動(dòng)眾地部署遠(yuǎn)維系統(tǒng)、安裝遠(yuǎn)維軟件了。Windows系統(tǒng)平臺(tái)用遠(yuǎn)程桌面就可以了，不過(guò)需要進(jìn)行相應(yīng)的安全設(shè)置。比如登錄帳戶的限制、密碼要足夠復(fù)雜，將3389端口更改等。Unix/Linux系統(tǒng)平臺(tái)，用Telnet登錄進(jìn)行遠(yuǎn)維。不過(guò)Telnet默認(rèn)是明文傳輸數(shù)據(jù)，我建議才具有SSL功能的Telnet客戶端連接。在Unix/Linux端做好安全設(shè)置，限制用root遠(yuǎn)程登錄，部署PAM認(rèn)證、SU限制等等。此外，利用web桌面進(jìn)行遠(yuǎn)程維護(hù)也是不錯(cuò)的選擇。路由器/交換機(jī)的遠(yuǎn)維也可采用telnet方式，不過(guò)要在路由器/交換機(jī)上部署SSL，客戶端用支持SSL的telnet連接。其實(shí)，這些遠(yuǎn)維方案相當(dāng)簡(jiǎn)單，安全性也不見(jiàn)得沒(méi)有保證，只要安全工作做好了也是非常好的方案。

當(dāng)然了，遠(yuǎn)維不僅是節(jié)日期間才有，是不過(guò)這段時(shí)間大家更為關(guān)注罷了。愿我的經(jīng)驗(yàn)?zāi)軌驇椭蠹?，也祝愿大家假期過(guò)得愉快。（IT專家網(wǎng)）