这是一个创建于 1643 天前的主题,其中的信息可能已经有所发展或是发生改变。
- 公司内部网络是安全的
- 堡垒机有帐号认证
- 有防火墙
- 公司有固定公网 IP
主流好像都是需要,但是最近在考虑真的需要吗,不知道是不是我漏了什么关键点
第 1 条附言 · 2020-05-07 13:44:53 +08:00
感谢各位的建议
首先堡垒机是有两步验证的,是我没提到
关于“公司内部网络是安全的”这个点,假设不安全,即使用了 vpn 也会存在 key 被盗取的现象吧
我其实比较倾向 8 楼的看法,专注于公司办公网络和 IDC 之间的通信,做好访问控制,特别需要的,才会使用 vpn
首先堡垒机是有两步验证的,是我没提到
关于“公司内部网络是安全的”这个点,假设不安全,即使用了 vpn 也会存在 key 被盗取的现象吧
我其实比较倾向 8 楼的看法,专注于公司办公网络和 IDC 之间的通信,做好访问控制,特别需要的,才会使用 vpn
 |
1
jzphx 2020-05-07 10:54:02 +08:00
光 134 就能做到很安全了。很多小公司没这条件,也不整虚拟专用网络,ssh db redis 端口全部向公网暴露,然后还有猪队友泄露在 github 上。
|
 |
2
defunct9 2020-05-07 11:12:48 +08:00
不需要
|
 |
3
amaranthf 2020-05-07 11:29:59 +08:00
1 和 3 并不完全可靠,而 vpn 的登录通常会需要员工专用的帐号密码,相当于再加一层安全措施,并不是没有用的。这就跟安保级别很高的地方,需要多个人的多把钥匙一样。
当然安全性和易用性肯定是负相关的,怎么平衡就看各公司怎么处理了。 |
 |
4
Renylai 2020-05-07 11:36:28 +08:00  2
一般问题都出在 1
|
 |
5
realpg 2020-05-07 11:49:48 +08:00
全部管理暴露公网的飘过……
这样才能促进更安全 |
 |
6
Sk3y 2020-05-07 11:52:00 +08:00
2 再加个 MFA 吧
|
 |
8
swulling 2020-05-07 11:55:43 +08:00
公司办公网:通过堡垒机访问 IDC 网络
外网:VPN 先拨入办公网,然后再通过堡垒机访问 IDC 网络 堡垒机按照安全规范不能依赖于固定的账号密码,而是需要开启两步认证( RSA Token 、手机短信、IM 通知、扫码认证等均可) |
 |
9
huangmingyou 2020-05-07 11:56:18 +08:00
遇到过两次开发人员下载盗版 ssh 工具,被后门的情况
|
 |
10
ohao 2020-05-07 11:56:39 +08:00
需要
安全只是其一,有些公司需要做安全和行为审计,合规性,在专用网络层会记录信息 |
 |
11
janus77 2020-05-07 13:48:18 +08:00 via iPhone
你把 1234 合在一起,这些条件是不是 vpn 就可以都满足了?
所以如果某些公司没有你这个条件,是不是就用 vpn 就可以解决所有问题了? |
 |
12
JoeoooLAI 2020-05-07 15:13:39 +08:00
内网才是最大威胁,做好用户行为管理,在有防火墙,端口不乱开,密码强度够且经常更改,防毒软件别省钱的情况下,其实足够安全。当然有能力套虚拟专用网 那是最好,减少开放端口的风险。
|
 |
13
doveyoung OP |
|
14
janus77 2020-05-07 15:59:10 +08:00
@doveyoung #13 理论上是这样,不过呢,安全总是和便捷冲突的,不排除某些公司要求的安全等级比较高……另外也有某些领导思维独特的因素
|
 |
15
eGlhb2Jhb2Jhbw 2020-05-07 16:22:50 +08:00
我提一个假设,1234 安全度是 90%,加上 vpn 安全度是 99%。你觉得你会怎么选?
ps:内部网络安全不要太依赖,总有人在做某些操作的时候忘记了安全。 |
 |
16
xuanbg 2020-05-07 16:24:47 +08:00
内部网络不安全的呀,你的同事电脑上面不知道有多少木马呢。
|
 |
18
ps1aniuge 2020-05-08 15:04:15 +08:00
-------linux------
服务器 SSH 端口被不断试探登录,怎么防护? 答: 我 at 所有看帖人,我用 powershell 写了一个工具《弹性 sshd 端口》, 入 qq 群,183173532,,1 元辛苦费找我购买。 写作目的: 1 富强。 2 防止黑客从端口穷举密码。 脚本特性: 1 弹性 sshd 端口,随机 n 分钟,更换端口。 2 用 powershell 在客户机输出弹性端口,你就可以用 plink 连接此端口。 系统需求: 1 支持 opensshd,支持 dropbear 。支持 linux,支持 win,但你需要告诉我你的 sshd_config 的位置。 2 必须在服务端,客户端安装 powershell 。对于 win 服务端,客户端,这不是问题。因为系统已经集成 powershell 了 -------win------- 如何增加 winrm 远程命令行的安全? 答: winrm 默认使用 http+5985 端口,密码传输加密,数据、命令传输明文。 有被人窃取机密,和插入攻击命令的风险,也就是所谓的中间人攻击。不过呢,其实问题不大。 解决的话,启用 https 版的 winrm,或者在 http 外面套上 vpn 即可。 强调一遍:win2012r2,win2016,win2019 默认开启这种 http 的 5985 端口。 如何建立证书并使用呢?请看走进 winrm 之 4 个安全级别! https://www.cnblogs.com/piapia/p/11897713.html |
Select Language