如何保證企業網絡安全遠程管理
眼下沒幾天就是“五·一”了,節日期間公司的IT人員也許會輪班,但大部分再也不用整日和網絡打交道了。雖然休假了,但公司的網絡還要運維。當前大家最關心的就是對網絡的遠程維護,如何坐鎮家中運籌帷幄決勝千里呢?也許大家都有自己的方法,不過有不少客戶向我討教遠維方案,那么就和大家分享一下自己的經驗。
1.遠程維護的原則
采用何種遠維方案可謂見仁見智,并且不同的公司有不同的安全需求和硬件前提。毫無疑問,遠程維護不同于本地運維采用什么樣的遠維方案應該有一個基本的原則。安全和方便應該是選擇遠維方案的出發點。
遠維首先要保證安全性,不管是內網還是外網的遠控要保證控制端與被控端的唯一性。也就是說,要預防第三端的介入,杜絕“第三人”的參與。要做到這一點,在被控端要做好安全部署(比如關閉多余端口、IP過濾、控制列表等),以防未經授權的惡意控制。另外,遠控方式的安全性也要保證(比如對數據進行加密等),以防“中間人”的嗅探。
遠維的方便性這個很好理解,也是IT人員追求的目標。方便性應該包括兩個方面的含義,一是操作上的便利,能夠以最快的速度實施遠程維護,二是遠維較少受外界因素的限制(比如地理位置、軟硬件設備等),可以隨時隨地的進行遠維。選擇方便的遠維方案,不僅提高了工作效率,而且保證了假日的質量。
2.可選的遠維方案
其實,在遠維中安全和簡單是很難全面兼顧的。它只能作為一個原則,在實際操作中大家可結合客觀條件和技術因素找到一個平衡點,選擇適合自己公司網絡的遠維方案。下面我提供幾個方案以供大家參考。
(1).VPN方案
VPN方案是我首先推薦的其理由有二:一VPN是系統集成的網絡連接方式,并且是跨平臺的(除了Windows系統,Unix/Linux也支持),而且一些主要的網絡設備(比如路由器、交換機等)都是支持VPN的。二VPN的連接方式非常簡單,與軟硬件無關。基于上面的原因,它符合方便性的要求。在安全性上,VPN也有保障,比如可通過隧道技術(Tunneling)、 加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)來保證。在實際應用中,可采用SSL VPN以及IPsec等來實現。當前不少廠家推出了自己的VPN解決方案,這些方案在安全性和易用性方面有了很大的提高。如果你的公司采用了這樣的方案,那進行遠維就方便多了。
(2).專業遠維方案
現在有不少的廠家推出了專業的遠維方案,應該說他們中的有些做得相當不錯,在安全性、易用性方面表現良好。這些遠維方案對網絡設備進行維護,既可以在設備的近端安裝客戶端實現,也可以在遠離設備的地方安裝客戶端實現。當然不僅能夠對類似服務器的節點進行維護,也可遠維路由器、交換機等網絡設備。顯而易見,這是需要公司投資的,而且需要在各個網絡節點進行部署,不宜推廣。如果你們公司有這樣的經濟實力,一定要說服老總部署類似的方案,這能夠極大的減輕IT人員的網絡運維負擔。
(3).第三方軟件方案
可供大家選擇的用來遠控的第三方軟件非常多,應該如何選擇呢?安全、穩定是首先要考慮的,建議大家選擇知名大公司的相關軟件產品。提醒大家不要圖方便下載部署某些安全性不能保證的個人軟件,這些軟件中往往會被植入惡意插件甚至木馬;其次,由于技術因素軟件的穩定性不能保證,一般有比較多的Bug。除了安全性,功能也是考量的一個因素。我的經驗,不要追求太多的功能夠用就可以了,因為更多的功能意味著更大的危險。另外,需要注意在軟件部署中一定要做好安全設置,千萬不要保持默認的設置。類似這樣的第三方工具非常多,一些工具可對類似服務器這樣的網絡節點進行控制,另外還有一些工具可控制路由器/交換機等。一般這樣的第三方軟件是基于C/S模式的,需要進行服務端和客戶端的部署。建議大家事先做好部署,這樣在有遠維需求時就可直接使用了。
(4).其他方案
小規模的網絡當然沒有必要興師動眾地部署遠維系統、安裝遠維軟件了。Windows系統平臺用遠程桌面就可以了,不過需要進行相應的安全設置。比如登錄帳戶的限制、密碼要足夠復雜,將3389端口更改等。Unix/Linux系統平臺,用Telnet登錄進行遠維。不過Telnet默認是明文傳輸數據,我建議才具有SSL功能的Telnet客戶端連接。在Unix/Linux端做好安全設置,限制用root遠程登錄,部署PAM認證、SU限制等等。此外,利用web桌面進行遠程維護也是不錯的選擇。路由器/交換機的遠維也可采用telnet方式,不過要在路由器/交換機上部署SSL,客戶端用支持SSL的telnet連接。其實,這些遠維方案相當簡單,安全性也不見得沒有保證,只要安全工作做好了也是非常好的方案。
當然了,遠維不僅是節日期間才有,是不過這段時間大家更為關注罷了。愿我的經驗能夠幫助大家,也祝愿大家假期過得愉快。
【編輯推薦】
