快速、安全和自动化的远程维护方案
方案背景 | 在竞争日益激烈的资讯化社会里,许多IT软件公司为了给客户提供迅速、优质的服务,并且不断降低成本和扩大客户群,已经开始考虑通过互联网给用户提供远程维护服务。但是,为地区分散且数量庞大的客户群提供服务并不是一件容易的事,如何选用一套合适的远程维护系统成了这些企业的当务之急。 |
涉及产品 | 宝界远程维护网关(硬件)、宝界远程接入系统(软件)、远程接入客户端软件 |
特点优势 | 降低服务成本 扩大客户群 提高服务效率 客户端操作简单 安全性高 |
方案简介 | 然而到目前为止,大多数的VPN远程安全访问解决方案仍然停留在97年的IPSec VPN技术。随着移动办公和远程用户的急速增加,源于10年前的IPSec 技术不再适合今天多变的网络环境。IPSec的易用性差,和防火墙兼容度低,维护成本高,更关键的是:在实际的网络环境中经常无法正常工作;2001年所面世的第一代SSL VPN技术(第一代VPN)又受限於架构上的缺失,因此企业莫不寻求更好的远程访问技术,亦或者根本放弃远程访问技术 |
关于宝界科技:
- 宝界科技有限公司是一家专业从事计算机网络安全研发、销售与服务的高科技企业。产品有: 防火墙、网页防篡改软件、WEB应用防火墙、IPSEC/SSL VPN、PKI信息安全平台、宝界防水墙等。
- 公司研发中心设在北京,在无锡新区设有销售中心,核心研发和管理成员来瑞星、Netscreen和天融信等安全厂家;
- 宝界远程维护产品主要包括宝界远程维护网关(硬件)、宝界远程接入系统(软件)、远程接入客户端软件,远程技术支持维护平台、快速文件传输平台、和云计算的虚拟桌面。
宝界远程维护系列产品应用介绍:
远程维护的需求场景:
- 出差或者异地办公的企业网管,远程维护本企业的远程电脑或者网络设备;
- 软硬件厂商的工程师给自己的用户提供远程网络技术支持;
- 以远程维护作为服务的公司(IT维护外包):远程维护客户网络中的服务器和PC;
- 对IDC中心的托管服务器进行远程维护及升级操作,网站服务器内容更新。
- 远程使用家里或单位的计算机、远程为亲朋好友解决计算机或网络问题。
远程维护的功能要求:
- 远程维护产品的部署不会改变现有网络架构;
- 远程维护产品的自身安全性,不会成为黑客攻击进入的跳板;
- 支持自动化操作,可以无人值守维护;
- 支持客户发起维护请求,提醒维护端工程师进行维护;
- 维护工具操作简单,具备集中维护应用界面,使用方便灵活;
- 能对各种网络设备和系统主机进行集成维护;
- 具备严格的访问控制和中央管理功能。
目前常见远程维护通讯工具的难题:
- 将改变现有网络架构
- 网络访问范围过大
- 设置安全网络隧道参数和访问策略配置复杂
- 集中维护和管理不方便
- 被维护端需要具有公网IP,易成为固定目标被攻击
- 使用跳转多点维护时操作复杂并难以做访问控制
- 不支持无人值守自动化维护操作
- 无法避免大众通用软件容易引起的攻击和漏洞
- 非企业商用软件产品,很多公司禁止使用
远程维护通讯工具的相对优点:
- 旁路单点部署,即可维护多台服务器及设备,不改变网络拓扑;
- 具有维护应用资源发布和中央控制功能,可以方便地进行维护访问控制,可将需要被维护的后台主机及IP设备资源统一发布在界面上进行统一集中管理维护操作;
- 安全通讯隧道搭建简单自动化,无需用户进行复杂设置;
- 内置的远程控制功能,具有无人值守即可访问到桌面、安全口令认证等特点;
- 企业重要的内部数据库、核心业务服务器或小型机在它们不允许访问外网的情况下也可以被维护。
- 被维护端控制主机无需静态公网IP,能联网即可,降低了固定IP目标被扫描和暴力攻击的可能。
此外,通过结合第三方维护软件也可以方便地对远端服务器进行各种维护操作: 使用SSH命令行工具:Putty/SecureCRT等。 使用专业维护工具:SolarWinds等 使用远程桌面类工具:微软远程桌面/VNC/PC Anywhere等。
宝界远程维护产品具有如下特点:
- 维护资源集成发布: 可以将所需维护的主机资源全部发布到一个界面上去,供远程工程师进行统一访问和使用
- 被维护端可无人值守自动化维护: 与某些通讯软件自带的远程协助功能不同,宝界远程维护功能支持无人值守自动维护,远程不需要用户配合,可以直接操作,包括重启服务器等。
- 支持俩种模式的运维: 可以工作在远程无人模式,也可以允许远程用户配合进行维护操作
- 系统多设备支持: 既可以支持Windows的服务器和电脑,又可以维护非Windows的系统,包括网络设备、IP摄像头和打印机等。
- 安全性高:不会由于需要被远程维护,就暴露整个被维护的内部网络。仅允许访问被维护的服务器;内部的数据库、核心业务服务器或小型机可以在不允许访问外网的情况下被维护。
- 防护级别高: 对远程维护人员做双因子认证,远程维护数据加密处理,非静态端口通讯,降低被攻击的可能。
- 跨运营商加速: 针对跨ISP访问慢的难题,具有广域网加速访问功能,可有效提高远距离跨ISP的访问维护速度。
- 支持详细日志: 包括登陆日志便于审计技术支持的工作,详细操作日志可以自动记录被操作的截屏。
- 灵活的收费模式: 支持按年服务费的方式,也支持一次买断的方式,可以自己搭建远程维护平台。
宝界远程维护系列产品是针对用户IT远程维护需求所专门开发研制的安全通讯产品,内置了多个特色功能:一键维护、应用发布、统一帐号管理和安全保护等,具有使用简单、安全、快速和集中控制的特色,同时融合了SSL VPN、TCP/IP 压缩加缩、远程维护产品的优点。
远程维护的三种模式:
- 主动维护模式A(适合维护端、被维护端场所均不固定的场合)
在互联网任一位置部署一台宝界远程维护网关或宝界远程接入服务端软件,同时在需要被维护服务器上安装远程接入客户端软件----此服务器为被控端,在远程维护PC上安装远程接入客户端软件(以进程方式运行)-----此主机为维护端,被维护端和维护端使用各自远程维护帐号,登陆宝界远程维护网关后,处于同一虚拟局域网内即可进行远程维护工作。实施网络拓扑如下图所示:

- 主动维护硬件模式B(适用于被维护端固定在同一个局域网内,且有多台被维护服务器)
在用户被维护端主机局域网出口或内网部署一台宝界远程维护网关,在远程维护PC上安装远程接入客户端软件-----此主机统称为维护端,在被维护端控制主机上对内部其他需要被维护的服务器或网络设备进行应用发布设置后即可让远程维护端用户主动对多台服务器或设备进行快速远程维护工作,部署网络拓扑图如下:

主动维护硬件模式B

主动维护软件模式B
集成维护应用的界面截图如下:

- 按需维护模式:(适于被维护端主动发出维护请求,维护端接受请求后开始维护工作
常见使用场景为软硬件厂商为自己的用户提供远程技术支持服务, 在用户需要被维护的主机上安装远程接入客户端----此主机统称为被维护端主机,在远程的厂商技术支持中心主机上安装远程接入客户端软件-----此主机统称为维护端主机,当用户发起维护请求后,厂商技术支持中心工程师将通过搭建的宝界安全通讯隧道开始相应的维护操作,被维护端主机上将显示工程师维护操作过程。 远程维护示意图如下所示:
