讓內(nèi)網(wǎng)管理不受位置限制

引言：作為網(wǎng)絡(luò)管理員，經(jīng)常要使用遠(yuǎn)程控制方式，管理著單位內(nèi)網(wǎng)中保存有各式數(shù)據(jù)的重要主機(jī)，其中遠(yuǎn)程桌面連接方式無疑是所有遠(yuǎn)程控制方式中的首選，不過倘若網(wǎng)絡(luò)管理員不在單位網(wǎng)絡(luò)環(huán)境中，而身處其他位置時(shí)，還能對單位內(nèi)網(wǎng)中的重要主機(jī)進(jìn)行管理維護(hù)嗎？本文下面介紹的幾種方法，可以讓單位內(nèi)網(wǎng)管理不受位置限制！

作為網(wǎng)絡(luò)管理員，經(jīng)常要使用遠(yuǎn)程控制方式，管理著單位內(nèi)網(wǎng)中保存有各式數(shù)據(jù)的重要主機(jī)，不過倘若網(wǎng)絡(luò)管理員不在單位網(wǎng)絡(luò)環(huán)境中，如何對單位內(nèi)網(wǎng)中的重要主機(jī)進(jìn)行管理維護(hù)嗎？本文下面介紹的幾種方法。

巧用邊界路由策略

為了既能使用遠(yuǎn)程桌面控制內(nèi)網(wǎng)主機(jī)，又能確保遠(yuǎn)程控制的安全性，我們可以巧妙借助邊界路由策略，使用一個(gè)陌生的遠(yuǎn)程桌面連接端口執(zhí)行遠(yuǎn)程控制操作。正常情況下，單位內(nèi)網(wǎng)重要主機(jī)都位于DMZ區(qū)域，且允許使用少量相對安全的網(wǎng)絡(luò)端口，如果想辦法將重要主機(jī)中的TCP3389端口，修改為其他不常用的端口號碼，再配合邊界路由策略，管理員安全地遠(yuǎn)程管理單位內(nèi)網(wǎng)主機(jī)了。

圖1 注冊表分支

例如，將單位內(nèi)網(wǎng)主機(jī)的遠(yuǎn)程連接端口修改為TCP12345時(shí)，只要在目標(biāo)主機(jī)系統(tǒng)中依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“regedit”命令并回車，開啟系統(tǒng)注冊表編輯器運(yùn)行狀態(tài)。

在該編輯窗口左側(cè)列表中，將鼠標(biāo)定位到如圖1所示的注冊表分 支HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlTerminal ServerWds dpwdTds cp上，找到該分支下的“PortNumber”雙字節(jié)鍵值，用鼠標(biāo)雙擊之，打開對應(yīng)鍵值編輯對話框，選中“十進(jìn)制”選項(xiàng)，輸入“12345”，確認(rèn)后保存設(shè)置操作。

默認(rèn)狀態(tài)下，邊界路由器沒有開通TCP12345端口，此時(shí)管理員嘗試通過該端口進(jìn)行遠(yuǎn)程控制操作時(shí)，往往會(huì)受到邊界路由器的攔截。為了確保遠(yuǎn)程控制操作順暢，還需要在邊界路由器中制訂相關(guān)邊界策略。

例 如，使 用“objectgroup service zuming tcp”，創(chuàng)建開放多個(gè)不同網(wǎng)絡(luò)端口的組“zuming”。使用“port-object eq 12345”、“port-object eq http”，分別 開 放“12345”、“80” 等端口。再使用“access-list neiwang extended permit tcp any gt 1023 host xxx object-group zuming”，讓單位出口訪問控制列表允許發(fā)起端采用大于1023的端口，請求該組創(chuàng)建的端口從TCP訪問IP地址為“xxx”的主機(jī)系統(tǒng)。這樣，管理員不需要使用默認(rèn)的TCP3389端口，就能安全訪問單位內(nèi)網(wǎng)主機(jī)“xxx”。這種配置操作能簡單有效地防止外網(wǎng)危險(xiǎn)程序，對單位內(nèi)網(wǎng)主機(jī)TCP3389端口的掃描和嗅探。

巧妙創(chuàng)建虛擬網(wǎng)絡(luò)

如果能借助外力創(chuàng)建某個(gè)虛擬網(wǎng)絡(luò)，將單位內(nèi)網(wǎng)中的被控主機(jī)和位于外網(wǎng)的控制主機(jī)同時(shí)納入到該虛擬網(wǎng)絡(luò)中，這時(shí)管理員就能象在單位內(nèi)網(wǎng)環(huán)境中，直接對被控主機(jī)進(jìn)行遠(yuǎn)程管理和控制。要實(shí)現(xiàn)這個(gè)目的，不妨借助“Virtual Native Network”工具，來自行創(chuàng)建好特殊的虛擬網(wǎng)絡(luò)。將被控主機(jī)和控制主機(jī)同時(shí)連接到一個(gè)相同的虛擬網(wǎng)絡(luò)中，并為它們自動(dòng)分配一個(gè)處于相同子網(wǎng)的虛擬網(wǎng)絡(luò)IP地址。

圖2 注冊界面

在使用“Virtual Native Network”工具創(chuàng)建虛擬網(wǎng)絡(luò)時(shí)，管理員只要先在單位內(nèi)網(wǎng)的被控主機(jī)系統(tǒng)中，下載安裝好目標(biāo)工具，等待該工具安裝操作結(jié)束后，安裝向?qū)Ь蜁?huì)自動(dòng)為被控主機(jī)系統(tǒng)創(chuàng)建好一個(gè)虛擬的網(wǎng)卡設(shè)備。接著從對應(yīng)系統(tǒng)的“開始”菜單中，開啟目標(biāo)工具的運(yùn)行狀態(tài)，當(dāng)看到一個(gè)帳號管理界面時(shí)，在該界面底部位置按下“單擊左鍵以注冊一個(gè)新帳號”按鈕，彈出新帳號創(chuàng)建對話框，在這里管理員先勾選如圖2所示界面中的“注冊后自動(dòng)登錄”復(fù)選項(xiàng)，并在“用戶信息”位置處，輸入合適的登錄帳號名稱和密碼內(nèi)容等。

值得注意的是，在這里輸入登錄帳號名稱時(shí)，一定要保證輸入的登錄名稱內(nèi)容符合“*.user.vnn.cn”格式。在新帳號創(chuàng)建對話框中，按下“注冊”按鈕，“Virtual Native Network”工具就會(huì)自動(dòng)進(jìn)行在線注冊操作，要是注冊完成同時(shí)登錄成功后，先前自動(dòng)生成的那塊虛擬網(wǎng)卡設(shè)備就可以生效使用了，同時(shí)被控主機(jī)系統(tǒng)會(huì)借助該虛擬網(wǎng)卡設(shè)備，智能地添加到剛剛創(chuàng)建好的虛擬網(wǎng)絡(luò)中，查看虛擬網(wǎng)卡參數(shù)時(shí)，會(huì)看到它已經(jīng)自動(dòng)獲取到了一個(gè)以10開頭的IP地址。

接下來返回到處于外網(wǎng)環(huán)境的控制主機(jī)系統(tǒng)中，按照同樣的操作方法，下載安裝好“Virtual Native Network”工具，并進(jìn)行在線注冊登錄操作，一旦登錄操作成功時(shí)，該主機(jī)系統(tǒng)的虛擬網(wǎng)卡設(shè)備也能智能得到一個(gè)以10開頭的IP地址，因?yàn)閮膳_主機(jī)系統(tǒng)此時(shí)使用的IP地址處于同一個(gè)工作子網(wǎng)中，所以管理員此時(shí)就能象在單位內(nèi)網(wǎng)中直接管理被控制主機(jī)，包括共享訪問操作、遠(yuǎn)程桌面連接操作、打印機(jī)共享操作等。

巧妙使用虛擬群組

當(dāng)參與共享訪問的兩臺主機(jī)系統(tǒng)，分隔單位內(nèi)外網(wǎng)不同位置時(shí)，比方說一臺位于家庭網(wǎng)絡(luò)中，一臺位于單位內(nèi)網(wǎng)環(huán)境中，這兩臺不在相同網(wǎng)段中的主機(jī)系統(tǒng)該怎樣快速相互共享訪問呢？面對如此特殊的共享訪問需求，不少人會(huì)想當(dāng)然地說通過遠(yuǎn)程控制功能，就能輕松完成不同網(wǎng)段主機(jī)系統(tǒng)中的數(shù)據(jù)共享訪問操作。

其實(shí)，遠(yuǎn)程控制功能一般會(huì)受到不同網(wǎng)段之間的層層限制，同時(shí)需要擁有超級用戶權(quán)限才行。現(xiàn)在我們使用Hamachi的虛擬群組功能，可以輕松對內(nèi)網(wǎng)主機(jī)系統(tǒng)中的共享資源進(jìn)行遠(yuǎn)程管理。

Hamachi工具支持P2P數(shù)據(jù)傳輸方式，尤為可喜的是，在它的幫助下，用戶能輕而易舉地穿透不同網(wǎng)段防火墻的限制，實(shí)現(xiàn)內(nèi)外網(wǎng)不同主機(jī)的遠(yuǎn)程互訪。

該工具實(shí)現(xiàn)互訪的思路，主要是通過虛擬網(wǎng)絡(luò)群組功能，將外網(wǎng)主機(jī)系統(tǒng)連接到一個(gè)特定虛擬網(wǎng)絡(luò)群組中，之后在內(nèi)網(wǎng)主機(jī)系統(tǒng)中使用Hamachi工具的創(chuàng)建新網(wǎng)絡(luò)功能，接入到外網(wǎng)主機(jī)所處的虛擬網(wǎng)絡(luò)群組中，這時(shí)共享雙方就相當(dāng)于處于同一個(gè)內(nèi)網(wǎng)中，那么遠(yuǎn)程共享互訪自然就簡單了。

圖3 創(chuàng)建界面

例如，現(xiàn)在筆者想通過家中的計(jì)算機(jī)，遠(yuǎn)程共享訪問單位內(nèi)網(wǎng)主機(jī)的共享資源。只要先在存儲有共享資源的單位內(nèi)網(wǎng)主機(jī)中，根據(jù)缺省設(shè)置完成Hamachi程序的安裝操作，等到安裝任務(wù)完成后，從系統(tǒng)“開始”菜單中開啟該程序的運(yùn)行狀態(tài)，打開它的主操作窗口。點(diǎn)擊該操作窗口左下角位置處的那個(gè)開關(guān)圖標(biāo)開始進(jìn)行虛擬連接，倘若連接成功后Hamachi程序就會(huì)自動(dòng)為單位內(nèi)網(wǎng)主機(jī)系統(tǒng)分配一個(gè)以5開頭的虛擬IP地址。

接著點(diǎn)擊三角圖標(biāo)，按下其后界面中的“Create a new network”選項(xiàng)，開始創(chuàng)建一個(gè)特定的虛擬網(wǎng)絡(luò)群組。在創(chuàng)建過程中，該工具要求用戶正確輸入好虛擬群組網(wǎng)絡(luò)的詳細(xì)網(wǎng)絡(luò)名稱和訪問密碼內(nèi)容（如圖3所示），當(dāng)正確輸入好網(wǎng)絡(luò)名稱和登錄密碼后，再點(diǎn)擊“Create”創(chuàng)建按鈕結(jié)束創(chuàng)建操作，這樣虛擬網(wǎng)絡(luò)群組就算正式生成了，同時(shí)單位內(nèi)網(wǎng)主機(jī)會(huì)自動(dòng)成為該虛擬群組中的一個(gè)成員。

當(dāng)筆者想從家中的某臺主機(jī)系統(tǒng)，快速地訪問位于特定虛擬群組中單位內(nèi)網(wǎng)主機(jī)的共享資源時(shí)，只要在家中的主機(jī)系統(tǒng)中安裝上相同的控制程序，并進(jìn)行虛擬網(wǎng)絡(luò)連接，同時(shí)將“加入現(xiàn)在的網(wǎng)絡(luò)”選項(xiàng)勾選起來。當(dāng)網(wǎng)絡(luò)連接向?qū)崾疽斎刖W(wǎng)絡(luò)名稱和登錄密碼時(shí)，筆者將先前創(chuàng)建的網(wǎng)絡(luò)名稱和密碼內(nèi)容正確輸入好，按下“加入”按鈕，就能讓筆者家中的主機(jī)系統(tǒng)添加到與單位內(nèi)網(wǎng)主機(jī)相同的虛擬群組中了，這個(gè)時(shí)候，它們就相當(dāng)于在同一個(gè)工作網(wǎng)段中。

然后筆者從特定虛擬群組網(wǎng)絡(luò)中，找到存儲有共享數(shù)據(jù)的單位內(nèi)網(wǎng)主機(jī)系統(tǒng)所對應(yīng)的IP地址選項(xiàng)，同時(shí)用鼠標(biāo)右鍵單擊該選項(xiàng)，點(diǎn)選右鍵菜單中的“瀏覽”命令，就能發(fā)現(xiàn)單位內(nèi)網(wǎng)主機(jī)系統(tǒng)中的所有共享數(shù)據(jù)了，這樣就可以按照傳統(tǒng)方法進(jìn)行共享資源的遠(yuǎn)程訪問控制操作了。在遠(yuǎn)程共享訪問過程中，我們用不著擔(dān)心遠(yuǎn)程共享訪問的安全性，畢竟Hamachi程序事先已經(jīng)對數(shù)據(jù)傳輸方式進(jìn)行了加密，即使處于外網(wǎng)中的惡意用戶已經(jīng)把重要的共享數(shù)據(jù)竊取了下來，但他們無法看到其中的詳細(xì)內(nèi)容。

直接進(jìn)行內(nèi)網(wǎng)穿透

前面本文曾經(jīng)提到，使用邊界路由策略配合遠(yuǎn)程桌面連接程序，可以實(shí)現(xiàn)內(nèi)網(wǎng)的遠(yuǎn)程管理和控制。但這對許多普通用戶來說，往往不具備成熟條件，畢竟獲得邊界路由配置權(quán)限的用戶不會(huì)很多。

為了讓內(nèi)網(wǎng)管控更加簡單方便，我們可以使用外力工具，來達(dá)到直接穿透內(nèi)網(wǎng)目的。向日葵遠(yuǎn)程控制就是一款這樣的工具，它通過自行研發(fā)的桌面圖形算法和智能切換穿透技術(shù)，使用瀏覽器插件的主控端，對不同網(wǎng)段進(jìn)行直接穿透，確保遠(yuǎn)程管理控制更加簡單易行。

圖2 注冊界面

一般來說，單位外網(wǎng)主機(jī)系統(tǒng)使用基于TCP方式的路由，通過最優(yōu)的路由與向日葵中控服務(wù)器建立通信連接，之后通過中控服務(wù)器轉(zhuǎn)發(fā)內(nèi)網(wǎng)訪問請求，從而實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)快速連接目的。在免費(fèi)狀態(tài)下，向日葵遠(yuǎn)程控制工具僅支持兩臺遠(yuǎn)程主機(jī)系統(tǒng)的永久授權(quán)。該程序安裝操作相當(dāng)簡單，只要在單位外網(wǎng)主機(jī)系統(tǒng)中安裝并登錄侍服端程序——向日葵被控端，之后通過瀏覽器的主控端插件，就能實(shí)現(xiàn)對單位內(nèi)網(wǎng)主機(jī)系統(tǒng)的遠(yuǎn)程管理和維護(hù)。

在對單位內(nèi)網(wǎng)主機(jī)執(zhí)行遠(yuǎn)程管理和控制操作時(shí)，先開啟IE瀏覽器窗口，在該窗口地址欄中輸入“http://www.oray.com”，打 開 向日葵遠(yuǎn)程控制程序的官方頁面，單擊其中的“注冊”超級鏈接，展開如圖4所示的注冊信息填寫頁面。輸入相關(guān)個(gè)人信息，點(diǎn)擊“提交”按鈕后，將獲取一個(gè)合法的遠(yuǎn)程控制賬號。輸入賬號登錄進(jìn)入官方網(wǎng)站后，點(diǎn)擊其后頁面中的“我的控制臺”超級鏈接，切換到我的控制臺管理頁面，逐一單擊“產(chǎn)品管理”、“向日葵管理”選項(xiàng)，進(jìn)入向日葵遠(yuǎn)程控制和管理頁面。在該頁面的“主機(jī)列表”位置處，按下“立即添加主機(jī)”按鈕，再輸入方便識別的內(nèi)容，確認(rèn)后保存設(shè)置即可。

這時(shí)，我們將看到主機(jī)添加成功的頁面，同時(shí)能看到“葵碼”和安裝超級鏈接，將該超級連接發(fā)送給單位內(nèi)網(wǎng)主機(jī)，再從單位內(nèi)網(wǎng)主機(jī)打開IE瀏覽器窗口，打開先前發(fā)送過來的安裝鏈接，選擇“立即安裝向日葵”。當(dāng)看到“要運(yùn)行此應(yīng)用程序”的提示信息時(shí)，點(diǎn)擊“運(yùn)行”按鈕，登錄主控方網(wǎng)頁控制遠(yuǎn)端主機(jī)。

之后在單位外網(wǎng)主機(jī)系統(tǒng)中登錄網(wǎng)頁，進(jìn)入向日葵的控制臺頁面，一旦主機(jī)登錄成功后，就能按下“遠(yuǎn)控”按鈕連接單位內(nèi)網(wǎng)的主機(jī)系統(tǒng)，這樣就能實(shí)現(xiàn)遠(yuǎn)程控制遠(yuǎn)端主機(jī)目的了。