■ 无锡 王小平

编者按：服务器的日常运维与管理一般是通过远程来实现的。如何进行安全、便捷的远程管理是许多服务器管理员所关心的问题。笔者提出以FinalShell+VPN 的方式实现安全、便捷的服务器远程管理，一方面有助于提高远程管理的安全性，另一方面也有助于提升远程管理效率，在实际使用中，取得了不错的效果。

许多企事业单位服务器部署情况如图1 所示，单位内部的Web 服务器、数据库服务器、资源服务器、视频服务器等基本是通过汇聚交换机汇聚后接入单位局域网出口防火墙，然后再接入互联网；用户由核心交换设备汇聚后接入单位局域网出口防火墙，最后与互联网相连。

在单位局域网内部，相当于有两个小的局域网，一个是由服务器组成的服务网络，另一个用户组成的用户访问网络，只不过两个小的局域网又是互联互通，一个整体，彼此可通过私有IP 地址直接访问，当然也可在出口防火墙中配置相应的访问策略进行管控。服务器管理员在单位局域网内异地远程管理服务器，只要在远程管理终端中直接输入对应服务器的局域网内IP 地址即可轻松实现远程管理。如果服务器管理员在家里或出差在外，如何在单位局域网外的网络远程管理单位内部服务器？

图1 网络结构图

这就要用到跨局域网的服务远程管理方式，从服务器响应方式来分，有被动和主动两种方式。被动连接方式由管理端通过网络协议、地址及端口连接服务器端实现远程管理；主动连接方式一般由第三方服务器进行中转，服务器主动连接第三方服务器，管理端通过第三方服务器建立单位内部服务器的连接实现远程管理。被动连接又分为直接被动连接和间接被动连接两种方式。具体对比分析如表1 所示。

基于上述分析，笔者结合日常管理经验，提出FinalShell+VPN 的方案实现安全、便捷、高效的远程管理方案。

构筑安全的服务器远程管理通道

如果采用表1 中第一种连接方式（直接被动连接），需要知道服务器远程管理所使用的网络协议、地址及端口号等信息，并在出口防火墙设备中为每台服务器配置相应的NAT 地址转换，将原先的内网地址+端口号转换成公网地址+端口号。这种方式意味着将内部服务器24小时直接暴露在公网上，只要通过网络扫描就能发现，根据其所有协议和管理终端进行尝试登录，安全性比较低，一般不推荐使用。第三种连接方式（第三方服务器中转连接），需要在服务器端和管理主机端安装软件，同时需要第三方服务器中转，需要交纳一定的服务费用，笔者也不推荐。笔者推荐的是第二种连接方式（间接被动连接），通过VPN 技术解决远程用户安全访问单位内部网络数据的问题，这样服务器管理员只需建立VPN 连接，其他管理方式与在单位局域网内部的操作方法一样。

VPN 技术是一种通过加密技术在公网中建立加密专用通道，使用户在外部网络也可以接入单位内部网络，就像在单位局域网内部一样访问内部资源与服务的技术。一般的网络防火墙都提供VPN 功能，只需简单配置即可实现。大致可分三步，一是指定使用VPN 接入的用户。二是指定VPN 接入的外部接口，如有多个互联网接口需要进行设置，具体从哪一个外部接口接入，外部接口决定了远程VPN 接入时所对应使用的公网IP 地址；配置隧道接口，VPN 用户远程接入内部网络所使用的内部IP地址，一般单独成一个网段。三是配置相关策略、路由信息（控制VPN 访问）。具体配置的方式可能因不同品牌和型号而有所差异，具体可参考网络防火墙操作手册。

表1 服务器远程管理方式对比分析

实现一体化服务器远程管理

远程管理客户端即服务器管理员在管理机上远程连接管理服务器的软件。采用第二种的间接直连方式，只需在管理机端安装相应的管理软件（一般服务器自带远程管理服务端），依据服务器操作系统一般可为Windows 类，和非Windows类。Windows 类常用的有远程3389 连接工具；而非Windows 类操作系统以Linux 操作系统为主，常用的远程管理工具是SSH 远程连接工具，如：PUTTY、WinSCP等。

笔者推荐的远程管理客户端FinalShell 一个国产的一体化远程服务器管理客户端，具有Windows 远程桌面管理、Linux 的SSH 远程管理、文件传输，还具有内存、CPU 性能监控、Ping 延迟丢包、Trace 路由监控、实时硬盘监控、进程管理器等运维管理功能。FinalShell 软件大家可以从http://www.hostbuf.com/下载。

1.添加远程连接

在主界面中点击“文件夹”图标，打开连接管理器，点击工具栏第一个图标，添加远程连接，远程连接分SSH连接（Linux）、远程桌面连接（Windows）。根据具体的远程管理需求进行选择添加。可将所有需要远程管理的服务器都添加进去。具体的配置比较简单，一目了然，在此就不多作介绍了。

2.一体化管理操作

远程管理服务器时，启动FinalShell，打开连接管理器，直接双击服务器远程连接即可进行远程连接。

以远程管理Linux 服务器为例，连接远程服务器成功后，左侧为CPU、内存、服务器进程、网络以及硬盘等实时监控信息，非常清晰、直观；右上部为远程服务器远程SSH 命令窗口，命令交互操作就在这儿实现；右下部为远程服务器上的文件目录信息，远程文件操作、传输窗口，与其他文件传输工具类似。其中高级网络监控、高级进程管理是需要升级收费的高级版。但以上的功能日常运维管理已经足够。

结语

采用FinalShell+VPN 的方式进行服务器的远程管理，首先进行VPN 连接，将管理主机远程连接到内部网络，这样管理主机就如同内部网络中的一台主机。无需要担心远程管理时端口被拦截，从而无法连接。FinaShell 将远程管理工具、文件传输工具、运维工具集成为一体，使用非常方便，大大降低了远程运维的复杂性，稳定、可靠。只要能上网的地方，服务器管理员就能随时随地能对单位内部的服务器进行远程运维与管理。目前，出于经济、绿色和安全的考虑，越来越多的企事业单位选择将实体服务器托管在第三方专业数据中心或者直接选择云服务器，此远程管理方案也同样适用。