眼下没几天就是“五·一”了,节日期间公司的IT人员也许会轮班,但大部分再也不用整日和网络打交道了。虽然休假了,但公司的网络还要运维。当前大家最关心的就是对网络的远程维护,如何坐镇家中运筹帷幄决胜千里呢?也许大家都有自己的方法,不过有不少客户向我讨教远维方案,那么就和大家分享一下自己的经验。
1.远程维护的原则
采用何种远维方案可谓见仁见智,并且不同的公司有不同的安全需求和硬件前提。毫无疑问,远程维护不同于本地运维采用什么样的远维方案应该有一个基本的原则。安全和方便应该是选择远维方案的出发点。
远维首先要保证安全性,不管是内网还是外网的远控要保证控制端与被控端的唯一性。也就是说,要预防第三端的介入,杜绝“第三人”的参与。要做到这一点,在被控端要做好安全部署(比如关闭多余端口、IP过滤、控制列表等),以防未经授权的恶意控制。另外,远控方式的安全性也要保证(比如对数据进行加密等),以防“中间人”的嗅探。
远维的方便性这个很好理解,也是IT人员追求的目标。方便性应该包括两个方面的含义,一是操作上的便利,能够以最快的速度实施远程维护,二是远维较少受外界因素的限制(比如地理位置、软硬件设备等),可以随时随地的进行远维。选择方便的远维方案,不仅提高了工作效率,而且保证了假日的质量。
2.可选的远维方案
其实,在远维中安全和简单是很难全面兼顾的。它只能作为一个原则,在实际操作中大家可结合客观条件和技术因素找到一个平衡点,选择适合自己公司网络的远维方案。下面我提供几个方案以供大家参考。
(1).VPN方案
VPN方案是我首先推荐的其理由有二:一VPN是系统集成的网络连接方式,并且是跨平台的(除了Windows系统,Unix/Linux也支持),而且一些主要的网络设备(比如路由器、交换机等)都是支持VPN的。二VPN的连接方式非常简单,与软硬件无关。基于上面的原因,它符合方便性的要求。在安全性上,VPN也有保障,比如可通过隧道技术(Tunneling)、 加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)来保证。在实际应用中,可采用SSL VPN以及IPsec等来实现。当前不少厂家推出了自己的VPN解决方案,这些方案在安全性和易用性方面有了很大的提高。如果你的公司采用了这样的方案,那进行远维就方便多了。
(2).专业远维方案
现在有不少的厂家推出了专业的远维方案,应该说他们中的有些做得相当不错,在安全性、易用性方面表现良好。这些远维方案对网络设备进行维护,既可以在设备的近端安装客户端实现,也可以在远离设备的地方安装客户端实现。当然不仅能够对类似服务器的节点进行维护,也可远维路由器、交换机等网络设备。显而易见,这是需要公司投资的,而且需要在各个网络节点进行部署,不宜推广。如果你们公司有这样的经济实力,一定要说服老总部署类似的方案,这能够极大的减轻IT人员的网络运维负担。
(3).第三方软件方案
可供大家选择的用来远控的第三方软件非常多,应该如何选择呢?安全、稳定是首先要考虑的,建议大家选择知名大公司的相关软件产品。提醒大家不要图方便下载部署某些安全性不能保证的个人软件,这些软件中往往会被植入恶意插件甚至木马;其次,由于技术因素软件的稳定性不能保证,一般有比较多的Bug。除了安全性,功能也是考量的一个因素。我的经验,不要追求太多的功能够用就可以了,因为更多的功能意味着更大的危险。另外,需要注意在软件部署中一定要做好安全设置,千万不要保持默认的设置。类似这样的第三方工具非常多,一些工具可对类似服务器这样的网络节点进行控制,另外还有一些工具可控制路由器/交换机等。一般这样的第三方软件是基于C/S模式的,需要进行服务端和客户端的部署。建议大家事先做好部署,这样在有远维需求时就可直接使用了。
(4).其他方案
小规模的网络当然没有必要兴师动众地部署远维系统、安装远维软件了。Windows系统平台用远程桌面就可以了,不过需要进行相应的安全设置。比如登录帐户的限制、密码要足够复杂,将3389端口更改等。Unix/Linux系统平台,用Telnet登录进行远维。不过Telnet默认是明文传输数据,我建议才具有SSL功能的Telnet客户端连接。在Unix/Linux端做好安全设置,限制用root远程登录,部署PAM认证、SU限制等等。此外,利用web桌面进行远程维护也是不错的选择。路由器/交换机的远维也可采用telnet方式,不过要在路由器/交换机上部署SSL,客户端用支持SSL的telnet连接。其实,这些远维方案相当简单,安全性也不见得没有保证,只要安全工作做好了也是非常好的方案。
当然了,远维不仅是节日期间才有,是不过这段时间大家更为关注罢了。愿我的经验能够帮助大家,也祝愿大家假期过得愉快。
【编辑推荐】