1946年，美國賓夕法尼亞大學研制了人類歷史上真正意義的第一臺電子計算機，1969年基于TCP/IP協議，美國軍隊成功將4所大學的計算機進行了連接，初代互聯網由此誕生。

而隨后，計算機和互聯網從軍用、商用領域再到千家萬戶，形色各異的應用程序或軟件系統噴涌而出，支持各類網絡設備的操作系統也此起彼伏，在這樣的環境下，許多軟件系統都提供跨網絡和系統的應用，但在跨網絡和系統應用時，考慮到系統安全和性能因素，作為系統開發者并不希望用戶直接訪問系統中的對象，這時候開發人員想到了在客戶端和系統端添加一層中間層——代理層。

Proxy代理技術由此而來，根據維基百科解釋，代理（英語：Proxy），也稱網絡代理，是一種特殊的網絡服務，允許一個網絡終端（一般為客戶端）通過這個服務與另一個網絡終端（一般為服務器）進行非直接的連接，如果把傳輸信息看作一個包裹，那么Proxy（代理）可以看作是一個快遞員，負責將你的包裹送達到收件人。

具體而言，代理服務器一般可以分為正向代理和反向代理。

正向代理，是從客戶/客戶端角度出發，即為了從原始服務器中取得內容，由客戶端向代理服務器發出請求，并指定目標訪問服務器，而后，代理（服務器）向目標服務器轉交需求，并將獲得的內容返回給客戶端。在正向代理過程中隱藏了真實請求的客戶端，即服務端不知道正式請求客戶是誰。

反向代理一般是從服務端出發，從網絡或者客戶（端）向反向代理提出請求，反向代理服務器收到需求后判斷請求走向何處，然后再將結果反饋給客戶端。同樣的，在反向代理過程中，內部服務器的信息也被隱藏。

在商用領域，代理服務通常應用在兩大應用場景之下：提高訪問速度和隱藏真實IP免受攻擊。相對直接暴露客戶端的IP，通過代理服務傳輸信息的方式有利于保障網絡終端的隱私或安全，防止攻擊。當然，對于企業來說，信息安全至關重要，所以保障企業網絡信息傳輸過程中的數據安全，避免被攻擊或滲透是一堂必修課，是需要優先考慮的。

1.傳統運維場景

據統計70%的安全事故來自企業內部運維管理不善導致，在傳統的運維場景里，為了保障企業IT資產和業務系統的安全，企業的IT資產如主機、數據庫、應用等，通常被置于一個單獨的、外界不可訪問的網絡之中，這些場景很常見，例如：

某銀行運維場景：

將業務系統部署于公司各分部機房中，業務系統涉及的主機、數據庫、中間件等資源位于一個獨立的網絡中，通過網絡防火墻等手段，使得外界（包括公司的辦公網）僅能訪問業務系統本身（如：僅能以web方式訪問業務應用本身），而無法以RDP、SSH或VNC等方式直接訪問主機操作系統、無法直接連接數據庫。

由于地理因素、網絡環境、安全規范的限制，在發生突發IT故障時，銀行各部門只能以各自集結點為主進行處置，難以統一集中、第一時間遠程協同接入業務環境開展應急處置工作。

某市氣象局運維場景：

將業務系統部署于公有云中，核心業務系統運行在高性能計算機以及常規的存儲服務、網絡通信設施等組成的本地氣象私有云上，對外公眾氣象業務運行在阿里云、華為云等公有云上，公有云業務系統涉及的主機等資源無公網IP，并被劃入了一個單獨的VPC內，外界僅能通過特定的通路（如：通過安全組控制僅允許訪問某公網IP的特定端口）訪問業務系統本身（如：僅能通過指定協議調用業務系統的業務接口），而不允許直接登錄云主機的遠程桌面。

因此形成了氣象私有云和公有云共存的混合架構，資源異構性和復雜性不斷增加。不同類型的IT設備部署于一個數據中心和五個觀測基地，地理位置分散。而公、私有云平臺之間存在業務數據對接，運維困難。

為了對這些業務系統涉及的IT資源進行運維、能夠訪問相關主機的遠程桌面，通常需要在業務系統所在網絡中部署一臺或多臺既能夠訪問業務系統所在網絡內的IT資源、又能夠被外界訪問到的主機作為跳板（以下簡稱跳板機），外界通過跳板機來訪問業務系統網絡內的相關主機、數據庫等資源，從而對業務系統進行運維。

分析以上傳統運維場景，不難發現：

1、業務系統允許環境所涉及的IT資源是多樣的，包括Windows（server）及Linux等不同的操作系統、各種NoSQL或關系型數據庫、各種中間件。

2、業務系統及其數據分散在不同的云資源中，有高性能、常規存儲服務的本地私有云，也有各家云廠商提供的公有云，并且還是多云情況。

3、業務系統所在網絡和運維人員所在的網絡相互隔離，運維人員無法直接訪問業務系統相關的資源。

按照傳統的運維手段，我們可能會這樣去運維這些業務系統：

1、要同時運維多樣的IT資源，必須同時具備多樣的客戶端工具（mstsc、PuTTY、WinSCP、Navicat、MySQLWorkbench等），顯而易見，我們需要使用Windows操作系統的跳板機，方能滿足同時部署如此多樣的客戶端的需求。

2、為了滿足并發運維的需求，要求跳板機允許多連接（同時打開多個遠程桌面），并滿足同時開啟多個運維客戶端工具實例的需求，這樣一來，跳板機就需要具備相對較高的計算資源配置。

3、對于一些重要、關鍵的業務系統，其配套的運維通道也必須有高可用保障，部署多臺跳板機以避免跳板機單點故障，則是保障運維通道高可用、保持暢通的必要手段。

4、跳板機作為業務系統所在網絡的運維入口，其需要具有運維人員可連接的IP，當業務系統部署于公有云中時，這個跳板機IP就是一個公網IP。

5、跳板機中部署了業務系統運維所需的各種客戶端工具，跳板機本身也需要運維，甚至會帶來不小的運維工作量。

2.行云管家Proxy介紹及其應用

可以看到的是，多設備、多網絡、多應用環境下，傳統的運維手段對于當今云計算時代的運維工作而言，效率并不高，繁雜甚至重復的運維工作狀態很容易讓工作出現紕漏，并由此引發一系列的運維安全事故。

日常普遍的運維場景中，為了保證客戶端與服務器之間的數據通訊安全，采用了跳板機的方式去承載和中轉信息，這樣的作法無疑又加大了運維的工作量，得不償失，在云管領域深耕多年的行云管家，提供了一種更為安全、可靠、便捷的解決方案——行云管家Proxy。

行云管家Proxy是一種類VPN解決方案，將行云管家Proxy部署于業務系統所在網絡中，Proxy主動反向連接至行云管家門戶，從而在行云管家門戶與Proxy之間建立起通訊鏈路，通過該通訊鏈路，運維人員即可對業務系統相關IT資源進行運維。

行云管家Proxy僅負責建立通訊鏈路和連接通道，運行于行云管家的Web桌面客戶端（RDP、SSH、VNC）或用戶的本地客戶端工具，通過該連接通道與業務系統所在網絡中的IT資源進行連接。

基于此方案，我們不妨對某銀行運維場景和某市氣象局運維場景進行重構：

使用行云管家Proxy，某銀行運維場景：

之前：

1、業務系統部署在公司各分部機房中，外界只能訪問業務系統本身，無法直接訪問主機操作系統、數據庫等。

2、發生IT故障，各部門只能以各自集結點為主進行處置，總部難以統一處理，同時也無法第一時間遠程協同接入業務環境進行應急處理。

現在：

1、利用行云管家Proxy特性，可以統一設備管理的入口將分散在各地、不同類型不同廠商的設備統一納入管理平臺，且無需在目標設備上安裝任何代理控制類插件，只要集團總部的行云管家門戶擁有公網IP即可，其余分支部門通過進入統一的門戶再進入各個業務系統中，這期間，行云管家Proxy會自動與要訪問的局域網主機進行連接，其后行云管家Proxy又會反向連接至行云管家門戶，方便了訪問的同時，也保證了各業務系統中的主機、數據庫等資源不被暴露在外網。

2、通過統一門戶，可將數據中心、科技部門的設備和運維專家一并接入到平臺，打破IT設備與技術專家的地理位置和網絡的限制，通過統一平臺的設備接入、會話協同、安全審計等特性，故障發生時能在第一時間集中人員進行應急響應，而不再各自為政零散難協調。

使用行云管家Proxy，某市氣象局運維場景：

之前：

1、核心業務系統運行在本地專有云上，對外公眾氣象業務云運行在阿里云、華為云等公有云上，且是多云環境。

2、公有云上的業務系統涉及的主機等資源無公網IP，外界只能特定的通路訪問業務系統本上，而不允許直接登錄云主機。

現在：

1、通過行云管家統一門戶，一鍵導入公有云、私有云及局域網資源，在一個平臺上實現混合云架構下的統一運維管理，提供主機監控、計算資源創建到銷毀、微信告警、日常運維、操作審計、數據備份、成本分析、安全體檢等功能，一站式云計算全生命周期管理。

2、基于行云管家Proxy技術，可通過行云管家門戶統一進入本地各處的氣象私有云，在私有云分支部署行云管家Proxy，私有云分支的內網IT設備通過Proxy并再借助互聯網通路接入到行云管家門戶，這種方式可以保證氣象私有云主機、數據庫等資源在內網的安全性，同時借助行云管家的協同分享能力，可讓身處異地的技術專家實時查看操作界面，還可邀請外部專家加入，實現內部專家和外部技術力量的有效結合。

3.行云管家Proxy特點及其部署要求

相較于傳統的跳板機運維，在保證企業內網服務器、數據庫安全等方面，行云管家Proxy提供了一種安裝即用、輕便又可靠的解決方案，以下是行云管家Proxy的特點：

1、行云管家Proxy支持部署于不同類型的操作系統中，包括Windows、Linux等。

2、行云管家支持在一個網絡內部署多個Proxy，通過多Proxy部署，即可滿足運維通道高可用需求，多個Proxy間還具備負載均衡能力，從而更好地支持并發運維。

3、行云管家Proxy通過反向連接至行云管家門戶，進而建立起通訊鏈路和連接通道，部署Proxy的宿主主機只需要能夠訪問到行云管家門戶即可，而無需被外界所訪問，更無需公網IP。

4、行云管家Proxy在運行過程中是主動連接門戶、自動升級維護的，無額外的運維工作量。

在了解到行云管家Proxy的特點之后，實際部署時，可參考以下要求部署宿主機：

1、宿主主機能夠訪問被運維IT資源的遠程端口。

2、宿主主機具備普通PC的CPU配置、約0.5G內存（可依據實際需要手工指定）和約500M的可用磁盤空間。

3、宿主主機僅需4Mbps/4Mbps（上行/下行）的網絡帶寬，即可滿足對業務系統所在網絡執行20個并發運維會話。

行云管家Proxy支持自動部署，通過選定位于目標網絡內的宿主主機，由行云管家自動連接至宿主主機進行安裝部署，安裝過程無需人工操作。

行云管家Proxy支持一鍵式部署，通過復制行云管家門戶依據不同操作系統而提供的安裝腳本，在宿主主機中一鍵式執行，安裝過程無需人工干預，即可完成Proxy的安裝部署。

4.行云管家門戶，結合行云管家Proxy、會話中轉服務為企業打造內網安全的銅墻鐵壁

顯而易見的是，為了保證服務器的數據安全，服務器往往會被置于一個與外界隔絕的獨立環境，開放主機端口和進行數據傳輸是建立與外界通訊的必然，行云管家門戶支持HTTPS協議，對外開放443端口，當然了，用戶可根據需要，選擇性的開放和關閉指定的服務端口，并結合行云管家Proxy技術可極大保證客戶端和各組件、服務器之間需要頻繁通信的數據安全。

另外，行云管家還提供會話中轉服務，用戶在門戶端發起創建會話請求之后，行云管家Proxy會選擇一個最合適的會話中轉服務，并通過Proxy證書來確保安全性。

Proxy收到創建會話指令并選擇好會話中轉服務后，即在內網中請求目標主機，通過門戶端傳輸的主機賬號密碼等信息創建會話。由于Proxy與目標主機在同一個內網中，所以天然具備網絡隔離性，安全性又得到了一層保護。

Proxy和目標主機之間通過RDP/SSH等協議進行連接，本身均支持加密通道技術，因此他們之間的通訊過程也是安全的，又保證了內網環境中目標主機之間的通訊安全。

多設備多網絡環境下，企業如何做好網絡互通的運維安全管理？由行云管家門戶和行云管家Proxy技術、會話中轉服務組成的解決方案，安全高效并簡潔，值得實踐。