引言：作為網絡管理員，經常要使用遠程控制方式，管理著單位內網中保存有各式數(shù)據的重要主機，其中遠程桌面連接方式無疑是所有遠程控制方式中的首選，不過倘若網絡管理員不在單位網絡環(huán)境中，而身處其他位置時，還能對單位內網中的重要主機進行管理維護嗎？本文下面介紹的幾種方法，可以讓單位內網管理不受位置限制！

作為網絡管理員，經常要使用遠程控制方式，管理著單位內網中保存有各式數(shù)據的重要主機，不過倘若網絡管理員不在單位網絡環(huán)境中，如何對單位內網中的重要主機進行管理維護嗎？本文下面介紹的幾種方法。

巧用邊界路由策略

為了既能使用遠程桌面控制內網主機，又能確保遠程控制的安全性，我們可以巧妙借助邊界路由策略，使用一個陌生的遠程桌面連接端口執(zhí)行遠程控制操作。正常情況下，單位內網重要主機都位于DMZ區(qū)域，且允許使用少量相對安全的網絡端口，如果想辦法將重要主機中的TCP3389端口，修改為其他不常用的端口號碼，再配合邊界路由策略，管理員安全地遠程管理單位內網主機了。

圖1 注冊表分支

例如，將單位內網主機的遠程連接端口修改為TCP12345時，只要在目標主機系統(tǒng)中依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“regedit”命令并回車，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。

在該編輯窗口左側列表中，將鼠標定位到如圖1所示的注冊表分 支HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlTerminal ServerWds dpwdTds cp上，找到該分支下的“PortNumber”雙字節(jié)鍵值，用鼠標雙擊之，打開對應鍵值編輯對話框，選中“十進制”選項，輸入“12345”，確認后保存設置操作。

默認狀態(tài)下，邊界路由器沒有開通TCP12345端口，此時管理員嘗試通過該端口進行遠程控制操作時，往往會受到邊界路由器的攔截。為了確保遠程控制操作順暢，還需要在邊界路由器中制訂相關邊界策略。

例 如，使 用“objectgroup service zuming tcp”，創(chuàng)建開放多個不同網絡端口的組“zuming”。使用“port-object eq 12345”、“port-object eq http”，分別 開 放“12345”、“80” 等端口。再使用“access-list neiwang extended permit tcp any gt 1023 host xxx object-group zuming”，讓單位出口訪問控制列表允許發(fā)起端采用大于1023的端口，請求該組創(chuàng)建的端口從TCP訪問IP地址為“xxx”的主機系統(tǒng)。這樣，管理員不需要使用默認的TCP3389端口，就能安全訪問單位內網主機“xxx”。這種配置操作能簡單有效地防止外網危險程序，對單位內網主機TCP3389端口的掃描和嗅探。

巧妙創(chuàng)建虛擬網絡

如果能借助外力創(chuàng)建某個虛擬網絡，將單位內網中的被控主機和位于外網的控制主機同時納入到該虛擬網絡中，這時管理員就能象在單位內網環(huán)境中，直接對被控主機進行遠程管理和控制。要實現(xiàn)這個目的，不妨借助“Virtual Native Network”工具，來自行創(chuàng)建好特殊的虛擬網絡。將被控主機和控制主機同時連接到一個相同的虛擬網絡中，并為它們自動分配一個處于相同子網的虛擬網絡IP地址。

圖2 注冊界面

在使用“Virtual Native Network”工具創(chuàng)建虛擬網絡時，管理員只要先在單位內網的被控主機系統(tǒng)中，下載安裝好目標工具，等待該工具安裝操作結束后，安裝向導就會自動為被控主機系統(tǒng)創(chuàng)建好一個虛擬的網卡設備。接著從對應系統(tǒng)的“開始”菜單中，開啟目標工具的運行狀態(tài)，當看到一個帳號管理界面時，在該界面底部位置按下“單擊左鍵以注冊一個新帳號”按鈕，彈出新帳號創(chuàng)建對話框，在這里管理員先勾選如圖2所示界面中的“注冊后自動登錄”復選項，并在“用戶信息”位置處，輸入合適的登錄帳號名稱和密碼內容等。

值得注意的是，在這里輸入登錄帳號名稱時，一定要保證輸入的登錄名稱內容符合“*.user.vnn.cn”格式。在新帳號創(chuàng)建對話框中，按下“注冊”按鈕，“Virtual Native Network”工具就會自動進行在線注冊操作，要是注冊完成同時登錄成功后，先前自動生成的那塊虛擬網卡設備就可以生效使用了，同時被控主機系統(tǒng)會借助該虛擬網卡設備，智能地添加到剛剛創(chuàng)建好的虛擬網絡中，查看虛擬網卡參數(shù)時，會看到它已經自動獲取到了一個以10開頭的IP地址。

接下來返回到處于外網環(huán)境的控制主機系統(tǒng)中，按照同樣的操作方法，下載安裝好“Virtual Native Network”工具，并進行在線注冊登錄操作，一旦登錄操作成功時，該主機系統(tǒng)的虛擬網卡設備也能智能得到一個以10開頭的IP地址，因為兩臺主機系統(tǒng)此時使用的IP地址處于同一個工作子網中，所以管理員此時就能象在單位內網中直接管理被控制主機，包括共享訪問操作、遠程桌面連接操作、打印機共享操作等。

巧妙使用虛擬群組

當參與共享訪問的兩臺主機系統(tǒng)，分隔單位內外網不同位置時，比方說一臺位于家庭網絡中，一臺位于單位內網環(huán)境中，這兩臺不在相同網段中的主機系統(tǒng)該怎樣快速相互共享訪問呢？面對如此特殊的共享訪問需求，不少人會想當然地說通過遠程控制功能，就能輕松完成不同網段主機系統(tǒng)中的數(shù)據共享訪問操作。

其實，遠程控制功能一般會受到不同網段之間的層層限制，同時需要擁有超級用戶權限才行?，F(xiàn)在我們使用Hamachi的虛擬群組功能，可以輕松對內網主機系統(tǒng)中的共享資源進行遠程管理。

Hamachi工具支持P2P數(shù)據傳輸方式，尤為可喜的是，在它的幫助下，用戶能輕而易舉地穿透不同網段防火墻的限制，實現(xiàn)內外網不同主機的遠程互訪。

該工具實現(xiàn)互訪的思路，主要是通過虛擬網絡群組功能，將外網主機系統(tǒng)連接到一個特定虛擬網絡群組中，之后在內網主機系統(tǒng)中使用Hamachi工具的創(chuàng)建新網絡功能，接入到外網主機所處的虛擬網絡群組中，這時共享雙方就相當于處于同一個內網中，那么遠程共享互訪自然就簡單了。

圖3 創(chuàng)建界面

例如，現(xiàn)在筆者想通過家中的計算機，遠程共享訪問單位內網主機的共享資源。只要先在存儲有共享資源的單位內網主機中，根據缺省設置完成Hamachi程序的安裝操作，等到安裝任務完成后，從系統(tǒng)“開始”菜單中開啟該程序的運行狀態(tài)，打開它的主操作窗口。點擊該操作窗口左下角位置處的那個開關圖標開始進行虛擬連接，倘若連接成功后Hamachi程序就會自動為單位內網主機系統(tǒng)分配一個以5開頭的虛擬IP地址。

接著點擊三角圖標，按下其后界面中的“Create a new network”選項，開始創(chuàng)建一個特定的虛擬網絡群組。在創(chuàng)建過程中，該工具要求用戶正確輸入好虛擬群組網絡的詳細網絡名稱和訪問密碼內容（如圖3所示），當正確輸入好網絡名稱和登錄密碼后，再點擊“Create”創(chuàng)建按鈕結束創(chuàng)建操作，這樣虛擬網絡群組就算正式生成了，同時單位內網主機會自動成為該虛擬群組中的一個成員。

當筆者想從家中的某臺主機系統(tǒng)，快速地訪問位于特定虛擬群組中單位內網主機的共享資源時，只要在家中的主機系統(tǒng)中安裝上相同的控制程序，并進行虛擬網絡連接，同時將“加入現(xiàn)在的網絡”選項勾選起來。當網絡連接向導提示要輸入網絡名稱和登錄密碼時，筆者將先前創(chuàng)建的網絡名稱和密碼內容正確輸入好，按下“加入”按鈕，就能讓筆者家中的主機系統(tǒng)添加到與單位內網主機相同的虛擬群組中了，這個時候，它們就相當于在同一個工作網段中。

然后筆者從特定虛擬群組網絡中，找到存儲有共享數(shù)據的單位內網主機系統(tǒng)所對應的IP地址選項，同時用鼠標右鍵單擊該選項，點選右鍵菜單中的“瀏覽”命令，就能發(fā)現(xiàn)單位內網主機系統(tǒng)中的所有共享數(shù)據了，這樣就可以按照傳統(tǒng)方法進行共享資源的遠程訪問控制操作了。在遠程共享訪問過程中，我們用不著擔心遠程共享訪問的安全性，畢竟Hamachi程序事先已經對數(shù)據傳輸方式進行了加密，即使處于外網中的惡意用戶已經把重要的共享數(shù)據竊取了下來，但他們無法看到其中的詳細內容。

直接進行內網穿透

前面本文曾經提到，使用邊界路由策略配合遠程桌面連接程序，可以實現(xiàn)內網的遠程管理和控制。但這對許多普通用戶來說，往往不具備成熟條件，畢竟獲得邊界路由配置權限的用戶不會很多。

為了讓內網管控更加簡單方便，我們可以使用外力工具，來達到直接穿透內網目的。向日葵遠程控制就是一款這樣的工具，它通過自行研發(fā)的桌面圖形算法和智能切換穿透技術，使用瀏覽器插件的主控端，對不同網段進行直接穿透，確保遠程管理控制更加簡單易行。

圖2 注冊界面

一般來說，單位外網主機系統(tǒng)使用基于TCP方式的路由，通過最優(yōu)的路由與向日葵中控服務器建立通信連接，之后通過中控服務器轉發(fā)內網訪問請求，從而實現(xiàn)內網主機快速連接目的。在免費狀態(tài)下，向日葵遠程控制工具僅支持兩臺遠程主機系統(tǒng)的永久授權。該程序安裝操作相當簡單，只要在單位外網主機系統(tǒng)中安裝并登錄侍服端程序——向日葵被控端，之后通過瀏覽器的主控端插件，就能實現(xiàn)對單位內網主機系統(tǒng)的遠程管理和維護。

在對單位內網主機執(zhí)行遠程管理和控制操作時，先開啟IE瀏覽器窗口，在該窗口地址欄中輸入“http://www.oray.com”，打 開 向日葵遠程控制程序的官方頁面，單擊其中的“注冊”超級鏈接，展開如圖4所示的注冊信息填寫頁面。輸入相關個人信息，點擊“提交”按鈕后，將獲取一個合法的遠程控制賬號。輸入賬號登錄進入官方網站后，點擊其后頁面中的“我的控制臺”超級鏈接，切換到我的控制臺管理頁面，逐一單擊“產品管理”、“向日葵管理”選項，進入向日葵遠程控制和管理頁面。在該頁面的“主機列表”位置處，按下“立即添加主機”按鈕，再輸入方便識別的內容，確認后保存設置即可。

這時，我們將看到主機添加成功的頁面，同時能看到“葵碼”和安裝超級鏈接，將該超級連接發(fā)送給單位內網主機，再從單位內網主機打開IE瀏覽器窗口，打開先前發(fā)送過來的安裝鏈接，選擇“立即安裝向日葵”。當看到“要運行此應用程序”的提示信息時，點擊“運行”按鈕，登錄主控方網頁控制遠端主機。

之后在單位外網主機系統(tǒng)中登錄網頁，進入向日葵的控制臺頁面，一旦主機登錄成功后，就能按下“遠控”按鈕連接單位內網的主機系統(tǒng)，這樣就能實現(xiàn)遠程控制遠端主機目的了。