選擇安全遠(yuǎn)程管理方法

盡管有這兩項(xiàng)功能，但都沒(méi)有觸及如何安全控制從遠(yuǎn)程IP地址連接各個(gè)內(nèi)部服務(wù)器的核心問(wèn)題。RDP協(xié)議的使用會(huì)加劇內(nèi)部網(wǎng)絡(luò)的混亂局面，如經(jīng)常會(huì)面臨一大堆需要解決的問(wèn)題。

RDP終端服務(wù)的最大弱點(diǎn)在于與內(nèi)部服務(wù)器進(jìn)行遠(yuǎn)程連接時(shí)沒(méi)有公用IP地址。另外，需要在內(nèi)部服務(wù)器上允許在所有的IP地址上通過(guò)TCP3389端口進(jìn)行遠(yuǎn)程連接。

要解決這個(gè)問(wèn)題，可以先建立一臺(tái)終端服務(wù)服務(wù)器，然后遠(yuǎn)程登錄這臺(tái)服務(wù)器后再通過(guò)它連入其他的內(nèi)部服務(wù)器。不過(guò)即使這樣，也不能解決微軟RDP執(zhí)行或者連接非微軟服務(wù)器的攻擊漏洞。

所以微軟的方法不是遠(yuǎn)程管理的可行方案。在與其他操作系統(tǒng)配合或者進(jìn)行接入連接的管理時(shí)都受到很嚴(yán)重的限制。

泛型方法
AT&T實(shí)驗(yàn)室開發(fā)的虛擬網(wǎng)絡(luò)計(jì)算(VNC)是一種獨(dú)立于平臺(tái)之外的方法。雖然這是一種創(chuàng)新性不依賴操作系統(tǒng)的方式，但是它依然需要在客戶端和服務(wù)器端加載軟件，并對(duì)任何通過(guò)IP登陸管理服務(wù)器的地址開放TCP端口。另外，它不能解決如何通過(guò)專用IP地址管理遠(yuǎn)程服務(wù)器的問(wèn)題。

VNC是一個(gè)很好的選擇，但是它需要在遠(yuǎn)程設(shè)備上安裝客戶端軟件，所以它可能不會(huì)成為企業(yè)永遠(yuǎn)的選擇對(duì)象。另外，還要處理允許任何IP地址登錄所有服務(wù)器的各個(gè)開放端口的問(wèn)題。

基于IP的KVM方法
幾大主要KVM廠商都提供通過(guò)網(wǎng)絡(luò)界面的IP遠(yuǎn)程連接解決方案。

Raritan公司提供的KVM解決方案允許用戶使用KVM，通過(guò)USB或者KVM連接器接入任何一臺(tái)服務(wù)器或者通過(guò)串口連接網(wǎng)絡(luò)設(shè)備。這一集成、安全的數(shù)字KVM解決方案通過(guò)網(wǎng)絡(luò)瀏覽器界面，并且已經(jīng)能夠?qū)崿F(xiàn)遠(yuǎn)程BIOS級(jí)別管理。

通過(guò)SSL以標(biāo)準(zhǔn)網(wǎng)絡(luò)連接方式連入遠(yuǎn)程KVM設(shè)備，然后進(jìn)行本地授權(quán)或者通過(guò)LDAP或者RADIUS進(jìn)行授權(quán)。也就是說(shuō)，如果使用一個(gè)支持SSL的網(wǎng)絡(luò)界面，就不能監(jiān)控或者授權(quán)對(duì)所有的服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程連接。

最后提示
無(wú)論是微軟方式還是VNC方式在具有獨(dú)特優(yōu)勢(shì)的同時(shí)，都存在一些問(wèn)題。而基于IP的KVM遠(yuǎn)程管理方式是最好的解決方案。

通過(guò)標(biāo)準(zhǔn)網(wǎng)絡(luò)瀏覽器對(duì)中心位置的安全遠(yuǎn)程登錄允許對(duì)任何與之相連接的設(shè)備或者服務(wù)器的BIOS級(jí)進(jìn)行控制。如果企業(yè)打算進(jìn)行安全的遠(yuǎn)程或者本地管理，那購(gòu)買一套基于IP的KVM解決方案，是個(gè)不錯(cuò)的選擇。(zdnet)