FinalShell+VPN 實現安全便捷的服務器遠程管理

■ 無錫 王小平

編者按：服務器的日常運維與管理一般是通過遠程來實現的。如何進行安全、便捷的遠程管理是許多服務器管理員所關心的問題。筆者提出以FinalShell+VPN 的方式實現安全、便捷的服務器遠程管理，一方面有助于提高遠程管理的安全性，另一方面也有助于提升遠程管理效率，在實際使用中，取得了不錯的效果。

許多企事業單位服務器部署情況如圖1 所示，單位內部的Web 服務器、數據庫服務器、資源服務器、視頻服務器等基本是通過匯聚交換機匯聚后接入單位局域網出口防火墻，然后再接入互聯網；用戶由核心交換設備匯聚后接入單位局域網出口防火墻，最后與互聯網相連。

在單位局域網內部，相當于有兩個小的局域網，一個是由服務器組成的服務網絡，另一個用戶組成的用戶訪問網絡，只不過兩個小的局域網又是互聯互通，一個整體，彼此可通過私有IP 地址直接訪問，當然也可在出口防火墻中配置相應的訪問策略進行管控。服務器管理員在單位局域網內異地遠程管理服務器，只要在遠程管理終端中直接輸入對應服務器的局域網內IP 地址即可輕松實現遠程管理。如果服務器管理員在家里或出差在外，如何在單位局域網外的網絡遠程管理單位內部服務器？

圖1 網絡結構圖

這就要用到跨局域網的服務遠程管理方式，從服務器響應方式來分，有被動和主動兩種方式。被動連接方式由管理端通過網絡協議、地址及端口連接服務器端實現遠程管理；主動連接方式一般由第三方服務器進行中轉，服務器主動連接第三方服務器，管理端通過第三方服務器建立單位內部服務器的連接實現遠程管理。被動連接又分為直接被動連接和間接被動連接兩種方式。具體對比分析如表1 所示。

基于上述分析，筆者結合日常管理經驗，提出FinalShell+VPN 的方案實現安全、便捷、高效的遠程管理方案。

構筑安全的服務器遠程管理通道

如果采用表1 中第一種連接方式（直接被動連接），需要知道服務器遠程管理所使用的網絡協議、地址及端口號等信息，并在出口防火墻設備中為每臺服務器配置相應的NAT 地址轉換，將原先的內網地址+端口號轉換成公網地址+端口號。這種方式意味著將內部服務器24小時直接暴露在公網上，只要通過網絡掃描就能發現，根據其所有協議和管理終端進行嘗試登錄，安全性比較低，一般不推薦使用。第三種連接方式（第三方服務器中轉連接），需要在服務器端和管理主機端安裝軟件，同時需要第三方服務器中轉，需要交納一定的服務費用，筆者也不推薦。筆者推薦的是第二種連接方式（間接被動連接），通過VPN 技術解決遠程用戶安全訪問單位內部網絡數據的問題，這樣服務器管理員只需建立VPN 連接，其他管理方式與在單位局域網內部的操作方法一樣。

VPN 技術是一種通過加密技術在公網中建立加密專用通道，使用戶在外部網絡也可以接入單位內部網絡，就像在單位局域網內部一樣訪問內部資源與服務的技術。一般的網絡防火墻都提供VPN 功能，只需簡單配置即可實現。大致可分三步，一是指定使用VPN 接入的用戶。二是指定VPN 接入的外部接口，如有多個互聯網接口需要進行設置，具體從哪一個外部接口接入，外部接口決定了遠程VPN 接入時所對應使用的公網IP 地址；配置隧道接口，VPN 用戶遠程接入內部網絡所使用的內部IP地址，一般單獨成一個網段。三是配置相關策略、路由信息（控制VPN 訪問）。具體配置的方式可能因不同品牌和型號而有所差異，具體可參考網絡防火墻操作手冊。

表1 服務器遠程管理方式對比分析

實現一體化服務器遠程管理

遠程管理客戶端即服務器管理員在管理機上遠程連接管理服務器的軟件。采用第二種的間接直連方式，只需在管理機端安裝相應的管理軟件（一般服務器自帶遠程管理服務端），依據服務器操作系統一般可為Windows 類，和非Windows類。Windows 類常用的有遠程3389 連接工具；而非Windows 類操作系統以Linux 操作系統為主，常用的遠程管理工具是SSH 遠程連接工具，如：PUTTY、WinSCP等。

筆者推薦的遠程管理客戶端FinalShell 一個國產的一體化遠程服務器管理客戶端，具有Windows 遠程桌面管理、Linux 的SSH 遠程管理、文件傳輸，還具有內存、CPU 性能監控、Ping 延遲丟包、Trace 路由監控、實時硬盤監控、進程管理器等運維管理功能。FinalShell 軟件大家可以從http://www.hostbuf.com/下載。

1.添加遠程連接

在主界面中點擊“文件夾”圖標，打開連接管理器，點擊工具欄第一個圖標，添加遠程連接，遠程連接分SSH連接（Linux）、遠程桌面連接（Windows）。根據具體的遠程管理需求進行選擇添加。可將所有需要遠程管理的服務器都添加進去。具體的配置比較簡單，一目了然，在此就不多作介紹了。

2.一體化管理操作

遠程管理服務器時，啟動FinalShell，打開連接管理器，直接雙擊服務器遠程連接即可進行遠程連接。

以遠程管理Linux 服務器為例，連接遠程服務器成功后，左側為CPU、內存、服務器進程、網絡以及硬盤等實時監控信息，非常清晰、直觀；右上部為遠程服務器遠程SSH 命令窗口，命令交互操作就在這兒實現；右下部為遠程服務器上的文件目錄信息，遠程文件操作、傳輸窗口，與其他文件傳輸工具類似。其中高級網絡監控、高級進程管理是需要升級收費的高級版。但以上的功能日常運維管理已經足夠。

結語

采用FinalShell+VPN 的方式進行服務器的遠程管理，首先進行VPN 連接，將管理主機遠程連接到內部網絡，這樣管理主機就如同內部網絡中的一臺主機。無需要擔心遠程管理時端口被攔截，從而無法連接。FinaShell 將遠程管理工具、文件傳輸工具、運維工具集成為一體，使用非常方便，大大降低了遠程運維的復雜性，穩定、可靠。只要能上網的地方，服務器管理員就能隨時隨地能對單位內部的服務器進行遠程運維與管理。目前，出于經濟、綠色和安全的考慮，越來越多的企事業單位選擇將實體服務器托管在第三方專業數據中心或者直接選擇云服務器，此遠程管理方案也同樣適用。