FinalShell+VPN 實(shí)現(xiàn)安全便捷的服務(wù)器遠(yuǎn)程管理

■ 無錫 王小平

編者按：服務(wù)器的日常運(yùn)維與管理一般是通過遠(yuǎn)程來實(shí)現(xiàn)的。如何進(jìn)行安全、便捷的遠(yuǎn)程管理是許多服務(wù)器管理員所關(guān)心的問題。筆者提出以FinalShell+VPN 的方式實(shí)現(xiàn)安全、便捷的服務(wù)器遠(yuǎn)程管理，一方面有助于提高遠(yuǎn)程管理的安全性，另一方面也有助于提升遠(yuǎn)程管理效率，在實(shí)際使用中，取得了不錯(cuò)的效果。

許多企事業(yè)單位服務(wù)器部署情況如圖1 所示，單位內(nèi)部的Web 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、資源服務(wù)器、視頻服務(wù)器等基本是通過匯聚交換機(jī)匯聚后接入單位局域網(wǎng)出口防火墻，然后再接入互聯(lián)網(wǎng)；用戶由核心交換設(shè)備匯聚后接入單位局域網(wǎng)出口防火墻，最后與互聯(lián)網(wǎng)相連。

在單位局域網(wǎng)內(nèi)部，相當(dāng)于有兩個(gè)小的局域網(wǎng)，一個(gè)是由服務(wù)器組成的服務(wù)網(wǎng)絡(luò)，另一個(gè)用戶組成的用戶訪問網(wǎng)絡(luò)，只不過兩個(gè)小的局域網(wǎng)又是互聯(lián)互通，一個(gè)整體，彼此可通過私有IP 地址直接訪問，當(dāng)然也可在出口防火墻中配置相應(yīng)的訪問策略進(jìn)行管控。服務(wù)器管理員在單位局域網(wǎng)內(nèi)異地遠(yuǎn)程管理服務(wù)器，只要在遠(yuǎn)程管理終端中直接輸入對(duì)應(yīng)服務(wù)器的局域網(wǎng)內(nèi)IP 地址即可輕松實(shí)現(xiàn)遠(yuǎn)程管理。如果服務(wù)器管理員在家里或出差在外，如何在單位局域網(wǎng)外的網(wǎng)絡(luò)遠(yuǎn)程管理單位內(nèi)部服務(wù)器？

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

這就要用到跨局域網(wǎng)的服務(wù)遠(yuǎn)程管理方式，從服務(wù)器響應(yīng)方式來分，有被動(dòng)和主動(dòng)兩種方式。被動(dòng)連接方式由管理端通過網(wǎng)絡(luò)協(xié)議、地址及端口連接服務(wù)器端實(shí)現(xiàn)遠(yuǎn)程管理；主動(dòng)連接方式一般由第三方服務(wù)器進(jìn)行中轉(zhuǎn)，服務(wù)器主動(dòng)連接第三方服務(wù)器，管理端通過第三方服務(wù)器建立單位內(nèi)部服務(wù)器的連接實(shí)現(xiàn)遠(yuǎn)程管理。被動(dòng)連接又分為直接被動(dòng)連接和間接被動(dòng)連接兩種方式。具體對(duì)比分析如表1 所示。

基于上述分析，筆者結(jié)合日常管理經(jīng)驗(yàn)，提出FinalShell+VPN 的方案實(shí)現(xiàn)安全、便捷、高效的遠(yuǎn)程管理方案。

構(gòu)筑安全的服務(wù)器遠(yuǎn)程管理通道

如果采用表1 中第一種連接方式（直接被動(dòng)連接），需要知道服務(wù)器遠(yuǎn)程管理所使用的網(wǎng)絡(luò)協(xié)議、地址及端口號(hào)等信息，并在出口防火墻設(shè)備中為每臺(tái)服務(wù)器配置相應(yīng)的NAT 地址轉(zhuǎn)換，將原先的內(nèi)網(wǎng)地址+端口號(hào)轉(zhuǎn)換成公網(wǎng)地址+端口號(hào)。這種方式意味著將內(nèi)部服務(wù)器24小時(shí)直接暴露在公網(wǎng)上，只要通過網(wǎng)絡(luò)掃描就能發(fā)現(xiàn)，根據(jù)其所有協(xié)議和管理終端進(jìn)行嘗試登錄，安全性比較低，一般不推薦使用。第三種連接方式（第三方服務(wù)器中轉(zhuǎn)連接），需要在服務(wù)器端和管理主機(jī)端安裝軟件，同時(shí)需要第三方服務(wù)器中轉(zhuǎn)，需要交納一定的服務(wù)費(fèi)用，筆者也不推薦。筆者推薦的是第二種連接方式（間接被動(dòng)連接），通過VPN 技術(shù)解決遠(yuǎn)程用戶安全訪問單位內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的問題，這樣服務(wù)器管理員只需建立VPN 連接，其他管理方式與在單位局域網(wǎng)內(nèi)部的操作方法一樣。

VPN 技術(shù)是一種通過加密技術(shù)在公網(wǎng)中建立加密專用通道，使用戶在外部網(wǎng)絡(luò)也可以接入單位內(nèi)部網(wǎng)絡(luò)，就像在單位局域網(wǎng)內(nèi)部一樣訪問內(nèi)部資源與服務(wù)的技術(shù)。一般的網(wǎng)絡(luò)防火墻都提供VPN 功能，只需簡(jiǎn)單配置即可實(shí)現(xiàn)。大致可分三步，一是指定使用VPN 接入的用戶。二是指定VPN 接入的外部接口，如有多個(gè)互聯(lián)網(wǎng)接口需要進(jìn)行設(shè)置，具體從哪一個(gè)外部接口接入，外部接口決定了遠(yuǎn)程VPN 接入時(shí)所對(duì)應(yīng)使用的公網(wǎng)IP 地址；配置隧道接口，VPN 用戶遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)所使用的內(nèi)部IP地址，一般單獨(dú)成一個(gè)網(wǎng)段。三是配置相關(guān)策略、路由信息（控制VPN 訪問）。具體配置的方式可能因不同品牌和型號(hào)而有所差異，具體可參考網(wǎng)絡(luò)防火墻操作手冊(cè)。

表1 服務(wù)器遠(yuǎn)程管理方式對(duì)比分析

實(shí)現(xiàn)一體化服務(wù)器遠(yuǎn)程管理

遠(yuǎn)程管理客戶端即服務(wù)器管理員在管理機(jī)上遠(yuǎn)程連接管理服務(wù)器的軟件。采用第二種的間接直連方式，只需在管理機(jī)端安裝相應(yīng)的管理軟件（一般服務(wù)器自帶遠(yuǎn)程管理服務(wù)端），依據(jù)服務(wù)器操作系統(tǒng)一般可為Windows 類，和非Windows類。Windows 類常用的有遠(yuǎn)程3389 連接工具；而非Windows 類操作系統(tǒng)以Linux 操作系統(tǒng)為主，常用的遠(yuǎn)程管理工具是SSH 遠(yuǎn)程連接工具，如：PUTTY、WinSCP等。

筆者推薦的遠(yuǎn)程管理客戶端FinalShell 一個(gè)國(guó)產(chǎn)的一體化遠(yuǎn)程服務(wù)器管理客戶端，具有Windows 遠(yuǎn)程桌面管理、Linux 的SSH 遠(yuǎn)程管理、文件傳輸，還具有內(nèi)存、CPU 性能監(jiān)控、Ping 延遲丟包、Trace 路由監(jiān)控、實(shí)時(shí)硬盤監(jiān)控、進(jìn)程管理器等運(yùn)維管理功能。FinalShell 軟件大家可以從http://www.hostbuf.com/下載。

1.添加遠(yuǎn)程連接

在主界面中點(diǎn)擊“文件夾”圖標(biāo)，打開連接管理器，點(diǎn)擊工具欄第一個(gè)圖標(biāo)，添加遠(yuǎn)程連接，遠(yuǎn)程連接分SSH連接（Linux）、遠(yuǎn)程桌面連接（Windows）。根據(jù)具體的遠(yuǎn)程管理需求進(jìn)行選擇添加。可將所有需要遠(yuǎn)程管理的服務(wù)器都添加進(jìn)去。具體的配置比較簡(jiǎn)單，一目了然，在此就不多作介紹了。

2.一體化管理操作

遠(yuǎn)程管理服務(wù)器時(shí)，啟動(dòng)FinalShell，打開連接管理器，直接雙擊服務(wù)器遠(yuǎn)程連接即可進(jìn)行遠(yuǎn)程連接。

以遠(yuǎn)程管理Linux 服務(wù)器為例，連接遠(yuǎn)程服務(wù)器成功后，左側(cè)為CPU、內(nèi)存、服務(wù)器進(jìn)程、網(wǎng)絡(luò)以及硬盤等實(shí)時(shí)監(jiān)控信息，非常清晰、直觀；右上部為遠(yuǎn)程服務(wù)器遠(yuǎn)程SSH 命令窗口，命令交互操作就在這兒實(shí)現(xiàn)；右下部為遠(yuǎn)程服務(wù)器上的文件目錄信息，遠(yuǎn)程文件操作、傳輸窗口，與其他文件傳輸工具類似。其中高級(jí)網(wǎng)絡(luò)監(jiān)控、高級(jí)進(jìn)程管理是需要升級(jí)收費(fèi)的高級(jí)版。但以上的功能日常運(yùn)維管理已經(jīng)足夠。

結(jié)語

采用FinalShell+VPN 的方式進(jìn)行服務(wù)器的遠(yuǎn)程管理，首先進(jìn)行VPN 連接，將管理主機(jī)遠(yuǎn)程連接到內(nèi)部網(wǎng)絡(luò)，這樣管理主機(jī)就如同內(nèi)部網(wǎng)絡(luò)中的一臺(tái)主機(jī)。無需要擔(dān)心遠(yuǎn)程管理時(shí)端口被攔截，從而無法連接。FinaShell 將遠(yuǎn)程管理工具、文件傳輸工具、運(yùn)維工具集成為一體，使用非常方便，大大降低了遠(yuǎn)程運(yùn)維的復(fù)雜性，穩(wěn)定、可靠。只要能上網(wǎng)的地方，服務(wù)器管理員就能隨時(shí)隨地能對(duì)單位內(nèi)部的服務(wù)器進(jìn)行遠(yuǎn)程運(yùn)維與管理。目前，出于經(jīng)濟(jì)、綠色和安全的考慮，越來越多的企事業(yè)單位選擇將實(shí)體服務(wù)器托管在第三方專業(yè)數(shù)據(jù)中心或者直接選擇云服務(wù)器，此遠(yuǎn)程管理方案也同樣適用。