1.1 硬件与网络:确认香港服务器公网IP或合法域名(A/AAAA记录),确认ISP/IDC已放通需要的端口(SSH/RDP/VPN)。
1.2 账号与证书:准备管理员账号、SSH私钥(推荐非密码登录)、SSL/TLS证书或VPN客户端配置文件。备份配置与相关密钥。
1.3 权限与合规:确认访问用途合规,审批通过后再开放外部访问,记录审批单号和变更窗口。
2.1 检查端口与连通性:在本地终端运行 ping hk.example.com 和 traceroute hk.example.com,端口检测用 nc 或 telnet:nc -zv HK_IP 22(SSH)或 nc -zv HK_IP 3389(RDP)。
2.2 SSH 连接(Linux/Unix):在本地放置私钥并设置权限 chmod 600 ~/.ssh/id_rsa,然后 ssh -i ~/.ssh/id_rsa -p 22 user@HK_IP。服务器上建议:编辑 /etc/ssh/sshd_config 禁用密码登录 PasswordAuthentication no、修改默认端口、启用公钥认证。
2.3 RDP 连接(Windows Server):确保服务器启用远程桌面并使用网络级别身份验证(NLA)。在本地运行 mstsc /v:HK_IP:3389,若更改端口需同时在防火墙开放新端口。
2.4 防火墙设置示例(Linux ufw):sudo ufw allow 22/tcp;sudo ufw allow 3389/tcp;或仅允许指定管理IP:sudo ufw allow from 1.2.3.4 to any port 22。
3.1 选择方案:小型部署推荐 WireGuard 或 OpenVPN;跨站点推荐 IPsec 或 SD-WAN。WireGuard 性能好且配置简单。
3.2 WireGuard 快速配置要点(服务端在香港):安装(apt install wireguard)、生成密钥 wg genkey | tee privatekey | wg pubkey > publickey,配置 /etc/wireguard/wg0.conf,启用 IP 转发 sysctl -w net.ipv4.ip_forward=1,并设置 NAT(iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE)。客户端导入对端公钥、AllowedIPs 指定目标子网。
3.3 OpenVPN 要点:在服务器配置 server.conf、生成客户端证书,推送路由(push "route 10.10.0.0 255.255.255.0"),启动后在客户端导入 .ovpn 文件,检查 journalctl -u openvpn 以排错。
4.1 基于角色的访问控制(RBAC):按业务角色划分访问组,给组分配精细化权限,避免使用共享管理员账号。
4.2 多因素认证(MFA):对 VPN、跳板机、管理控制台强制启用 MFA(TOTP 或硬件密钥)。
4.3 网络分段与白名单:将管理口放在管理 VLAN/子网,仅允许跳板机或堡垒机从外网访问内网管理端点,使用防火墙白名单限制来源 IP。
5.1 部署堡垒机:将所有外部管理会话先接入堡垒机(堡垒机处做身份认证、审计、命令记录)。开源选择如 bastion,商用可选 JumpCloud 等。
5.2 会话录制与审批:启用会话录制、命令回放、会话过期策略,并在高权限操作前增加审批流程。
6.1 开启系统与服务日志:Linux 启用 rsyslog/journald,收集 /var/log/auth.log、/var/log/syslog;VPN 服务日志单独保留。设置远程日志采集到中央 SIEM。
6.2 告警与保留策略:在 SIEM 中配置异常登录、失败登录次数、非工作时间访问告警;日志保留期按合规需求设置(如 90 天、365 天)。
7.1 无法连接:先从本地 ping/ traceroute / nc 检查网络与端口,确认域名解析 nslookup hk.example.com。
7.2 VPN 连接失败:检查服务端 openvpn/wireguard 状态(systemctl status),查看日志(journalctl -u openvpn),确认路由推送与 IP 转发设置。
7.3 证书或密钥问题:确认证书未过期,私钥权限正确,若公钥不匹配重新分发新密钥并撤销旧证书。
问:外网访问香港服务器时如何避免暴露管理端口?
答:答:使用 VPN 或跳板机集中对外暴露,仅在堡垒机上开放管理端口;在防火墙上设置源地址白名单、启用 MFA,并使用非标准端口和密钥认证替代纯密码。
问:企业如何在内网与外网之间做安全边界与最小权限?
答:答:采用网络分段(VLAN/子网)、基于角色的访问控制(RBAC)、堡垒机集中审计,并通过 NAC、MFA 和最小化开放端口实现最小权限原则。
问:做好这些措施后还需要注意哪些日常维护?
答:答:定期更新系统与软件补丁,轮换密钥与证书,审查访问日志与权限变更,定期演练故障恢复与应急流程。