这是一个创建于 3178 天前的主题,其中的信息可能已经有所发展或是发生改变。
这样做,能有多安全呢?
还有没有必要做 SSL VPN , iptables 加固,应用层面上,是否还需要做 IP 限制?
在这个基础上,应用层面还有哪些需要注意的地方?
 |
1
laiyingdong 2016-03-12 18:01:25 +08:00
是什么网站? DDoS 可不管你几个 IP
|
 |
2
Nixus OP @laiyingdong 公司 OA 。限制 IP 是说,只允许某几个 IP 访问,比如只允许 1.1.1.1 、 2.2.2.2 、 3.3.3.3 、 4.4.4.4 、 5.5.5.5 可以访问这个网站,其它 IP 的网站都不给访问
|
|
3
laiyingdong 2016-03-12 18:08:02 +08:00  1
@Nixus 局域网内还是外,如果你确定只需要公司的几个固定节点的 IP 访问的话那么确实能提升安全性 一般来说外面不知道也没人能对你怎么样 SSL VPN 当然是安全的
|
 |
4
Strikeactor 2016-03-12 18:16:39 +08:00 1
我记得之前有个新闻, FBI 给恐怖组织的电脑里安的木马就是写死了 IP 的,然后由于运营商的变动导致他们永远的丧失了那个 IP 的控制权,导致必需临时让运营商广播那个 IP 的假地址来连上木马修改写死的 IP 。。
如果是在 iptables 这种内核级防火墙上做的限制,安全是安全,不过作死程度也真蛮高的 |
 |
5
SoloCompany 2016-03-12 18:26:51 +08:00 1
SSL 当然有意义,不是同一个层面的东西
至于 iptables 本质上和你在服务器端做的 ip 限制是一码事,没必要部署 |
 |
6
lhbc 2016-03-12 19:08:29 +08:00 via Android 1
当然有意义。
我们的内部系统就是这样的,仅允许公司固定 IP 和 VPN IP 访问,其他 IP 直接 drop |
 |
7
alect 2016-03-12 20:46:59 +08:00 1
理论上安全性提高相当多。。公司内部用的订单系统就是限定 IP 访问的。
|
|
8
lhbc 2016-03-12 21:11:07 +08:00 via Android 1
另外,四层限制和代码上限制的安全性是不一样的。
四层限制基本上是无法突破的,除非有 kernel 级别 netfilter 相关的 bug 。 代码的限制可能有 bug , httpd 层比如 nginx 的限制安全性相比代码高很多。 当然,对自己代码有绝对信心除外。 |
 |
9
tadtung 2016-03-12 22:02:40 +08:00 1
楼上说的正确,,其实最简单方便的就是,内部系统最好就是限制几个固定 ip ,,外网使用 vpn 。
|
 |
10
chinvo 2016-03-12 22:05:59 +08:00 1
限制只有 vpn 的虚拟网络能访问,用 otp 令牌,内网外网都用 IPSec 或其他强加密的 VPN 接入。
|
|
12
lhbc 2016-03-14 16:58:18 +08:00 1
@Nixus
1. 部分分公司有专线,固定 IP 部分分公司没有固定 IP ,就在网关做 SSL VPN 接入 部分员工分配 VPN 账号, VPN 兼容所有桌面和移动设备 2. 内部系统根据端口分不同的策略,比如邮件系统 1) SSH, 管理端口 划为 管理组 443, smtp, imap, pop 划为 邮件组 25 划为 public 组 2) 然后把不同 IP 划到不同组,根据端口组和 IP 组做策略 堡垒机 管理组 办公室固定 IP 和 VPN IP 邮件组 0.0.0.0 public 组 其他端口不开放 3. 增加两步验证 |
Select Language