摘 要 当今县级广电企业面临着业务系统维护工作不断加重,同时又受到资金和体制方面的约束。本文探讨了计算机远程控制的基本原理和各软件的性能,并重点介绍了利用RDP和VNC相结合实现县级广电业务系统的集中运维管理。
关键词 运营维护;计算机远程控制;RDP;VNC
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2012)012-0116-02
随着各项业务的发展,广电系统业务计算机终端、服务器的数量在不断的增加,业务数据种类繁多。技术部门在进行信息系统运维过程中面临着诸多困难,以昆山广电为例,主要表现在:①计算机数量较多,昆山广电的业务计算机数量近200台;②各维护点分散,全县包括11个乡镇分公司,25个营业点,最远的周庄乡镇机房距离市中心40多公里;③中心数据机房资源有限,半数以上机架上无KVM设备,配置服务器时往往需自带显示器、键盘和鼠标;④部分重要设备的查询服务器放置在机房,而机房高电压、高噪声、高辐射环境,并不适合长时间在其中驻足;⑤技术部门的专职管理人员仅有2名,且无专用工程车辆,需借用其他部门车辆进行远距离维护。
比较中国移动、中国电信这类国家级的运营商,IT的运维工作外包给了专业的IT服务公司,这需要充足的资金和成熟IT系统管理体制。而县一级的广电行业仍然处在由事业体制向企业转化的过程中,不具备这方面的优势。面对这些问题,采用计算机远程控制技术实现信息系统的集中式远程维护是一个行之有效的方法。
1 远程桌面控制介绍
远程控制是基于C/S模式,对于桌面操作系统的控制机制如图1所示:客户端通过登陆服务端,将键盘、鼠标的控制信息发送到服务端;服务端接收控制信息,并按照控制指令操作被控计算机;最后按照主动、被动等机制将更新后系统桌面图像经处理后传输给客户端。面向桌面的远程控制软件种类较多,比较常见的有Windows系统自带的远程桌面工具RDP(Remote Desktop Protocol)、虚拟网络计算软件VNC(Virtual Network Computing)、Symantec公司的pcAnywhere远程控制软件,其他的软件或是类似黑客工具留有后门,或是使用并不广泛,不具有代表性在此不作介绍。
RDP起源于Citrix公司的MultiWinTM技术,后由微软将其集成至Windows操作系统,支持多用户并行会话。RDP基于国际电信联盟ITU定义的T.120系列协议族,现更新至RDP6.0版本。RDP采用RSA非对称加密算法进行用户身份认证,并提供40、56和128位三种密钥强度的RC4数据加密传输机制,支持音频、文件传输和日志管理。RDP可以很好的应用在Windows系列操作系统上,但不支持其他操作系统。RDP登录远程计算机是独占性的,需注销操作系统。
VNC是由AT&T实验室所开发的计算机远程控制软件,采用了GPL授权条款,可免费取得,其小巧灵便、跨平台支持及低带宽需要,得到了广泛应用。VNC采用远程帧缓冲RFB(Remote Frame Buffers)传输协议,利用Hextile、ZRLE等算法进行图像编码。VNC利用随机挑战响应(Random Challenge-Response)进行身份验证,但无文件传输和日志管理功能,也无数据加密传输机制,安全问题是该软件最大的问题。
pcAnywhere工具实现了基于DES-256加密数据传输、符合FIPS 140-2认证体系,具有跨平台性,同时带有文件传输、文本聊天及日志管理等功能,从功能上讲该软件较健全。但该款软件是商业性的,单个授权的基本费用最低是139.9美元,按200个点部署规模,一年的基础技术支持费用是38 538美元,这是一个县级广电单位无法承受的。以上三款软件的功能比较如表1所示。
2 实施方案
考虑到实际的工作需求和经济性,昆山广电采用了RDP和VNC相结合的远程控制架构。在整个实施过程中实现了分类控制、代理机制和安全应用,其架构如图2所示。
2.1 分类控制
昆山广电的计算机信息系统中主要由业务终端和服务器两大类,
业务终端全部安装Windows XP系统,而服务器操作系统包括了Windows 2003和Linux。业务终端和服务器的维护需求不同。
业务终端的维护一方面是及时排除因误操作产生的系统故障,另一方面也有教学示范的作用,让业务员能够清楚看到正确的操作步骤,以避免再次犯错。RDP对XP系统的登录会使得系统注销,无法满足教学示范的作用,而VNC可以满足要求。对于业务终端的远程桌面控制采用VNC,在所有的业务终端上全部安装VNC Server软件,同时配备预设的登录密码和设置VNC服务为开机即启动。
服务器的维护主要涉及到对工业控制机的状况监控、对数据库的查询管理、对报表服务器的文件管理和对Web应用服务器的配置文件管理等。服务器的操控一般由网管人员进行操作,Windows 2003操作系统允许多用户并行操作,支持小容量文件的上传和下载,对于Windows 2003服务器选用RDP进行远程控制,在所有的服务器上开启RDP服务。对于Linux系统的服务器,采用了Linux自带的VNC软件,启动VNC服务进程,控制端是基于Windows系统的VNC Client软件,通过VNC来实现对Linux服务器的远程桌面控制。
2.2 代理机制
昆山广电业务网络是一个独立的城域网,无法同Internet互联,这使得普通办公计算机无法直接同业务网络相连进行远程控制。为了解决以上的问题,在业务网中部署代理服务器的方法实现从办公网络对整个业务网络进行访问控制。
工业控制机和数据库服务器都配备了查询服务器,查询服务器安装了查询客户端并不存储重要数据。在此选用工控机的查询服务器作为远程控制的中转代理,将其一闲置的网口配置固定IP,并使其通过VPN能够从外网访问。在代理服务器上开启了RDP服务,同时安装了VNC的客户端软件。这样通过RDP登录到代理服务器的外网用户可以嵌套利用RDP远程访问控制其他Windows服务器,同时也可以通过VNC远程访问Linux应用服务器和遍布全县的业务终端。
单个代理服务器的使用存在一定脆弱性,当该机网口链路中断或是机器宕机后便无法进行外网的远程访问,因此代理中转服务器的设置应该是具有备用机制,在此利用数据库查询服务器作为备用的中转代理,将其IP地址同样纳入VPN的访问范围,并开启RDP服务和安装VNC客户端。通过主备代理的机制可以增强远程控制的稳定性。
2.3 安全设置
如何确保远程控制的合法性和信息系统的安全性是业界一直在讨论的问题。信息系统的安全性主要体现在业务数据的保护,在此仅讨论服务器在远程控制方面的安全问题,可以从下面几个方面加强远程桌面控制的安全性。
1)端口设置。在默认状态下RDP服务使用的默认端口为3389,VNC的默认端口是5900,默认的端口容易遭到黑客的利用来进行攻击和窃听,应该及时将默认端口改成一个私有的值。TCP/IP协议中规定了可用的端口为65 535个,其中小于1024的端口值为协议已分配,大于1024的值为应用系统所用,在此可以设立一个5位数值的端口号如“15890”,为了进一步加强端口的不可猜测性,可以使不同服务器设置不同的监控端口。RDP服务端口的修改需要在被控计算机的注册表中将相应的子键值重新设定,而VNC软件只需将VNC服务端程序的配置中进行设置。
2)安全策略。Windows 2003的服务器版本提供了“组策略”管理功能,在“组策略”管理中通过设置客户端加密级别来进行安全加密策略调整。有两种方式,一种是客户兼容模式,可以实现强制远程控制双方使用客户端最高加密级别进行连接;另一种是高级别模式,当客户端系统不支持128为密钥强度的数据加密时无法同服务器相连接。同时在“组策略”管理中可以根据需要禁用文件、打印机和剪贴板等资源重定向功能。
3)安全通道。RDP的认证模式存在着“中间人”攻击危险,而VNC的明文数据传输极不安全。可以通过采用第三方软件提供的加密功能来构建安全通道。SSH 是建立在应用层和传输层上的专为文件传输和远程登录会话提供安全性的协议。SSH在使用过程中需要进行端口关联,如将VNC的5900端口同SSH的22端口建立监听绑定。当VNC通过5900端口传送数据时,SSH会将数据捕获然后调用自身的加密算法库进行加密,加密后的数据通过22端口发向远端;SSH服务端接受到对方发送的数据后进行解密,再将数据映射到上层的VNC软件。SSH提供了基于口令和基于密钥的安全认证,采用后者的安全认证因不涉及口令传输而避免了“中间人”攻击。SSH的跨平台性能够很好的配合VNC软件在各种操作系统上的部署。
3 结束语
本文介绍了利用计算机远程控制,实现县级广电企业的业务系统的集中运维管理。通过将RDP和VNC结合使用,大大降低了系统管理人员的工作量和劳动强度,提高了整个业务系统的工作效率,也节约了企业运维成本开销。通过昆山广电的实践证明,远程控制模式是中小企业实现现代化管理的有效方式。
参考文献
[1]Remote Desktop Protocol(RDP)Features and Performance White Pager[EB/OL].http://www.省略.
[2]梁飞蝶,李锦涛,史红周.虚拟网络计算(VNC)协议中的编码方法[J].计算机应用,2004,24(6):93-95.
[3]梁锦锐.远程桌面的应用及安全设置[J].南宁职业技术学院学报,2009,14(2):94-96.
[4]王悦.RDP协议的安全性分析与中间人攻击[D].北京:北京邮电大学,2008.
[5]OpenSSH [EB/OL].http://www.省略/.