网站做了 IP 地址限制，只允许 5 个 IP 访问……

是什么网站？ DDoS 可不管你几个 IP

@laiyingdong 公司 OA 。限制 IP 是说，只允许某几个 IP 访问，比如只允许 1.1.1.1 、 2.2.2.2 、 3.3.3.3 、 4.4.4.4 、 5.5.5.5 可以访问这个网站，其它 IP 的网站都不给访问

@Nixus 局域网内还是外，如果你确定只需要公司的几个固定节点的 IP 访问的话那么确实能提升安全性 一般来说外面不知道也没人能对你怎么样 SSL VPN 当然是安全的

我记得之前有个新闻， FBI 给恐怖组织的电脑里安的木马就是写死了 IP 的，然后由于运营商的变动导致他们永远的丧失了那个 IP 的控制权，导致必需临时让运营商广播那个 IP 的假地址来连上木马修改写死的 IP 。。

如果是在 iptables 这种内核级防火墙上做的限制，安全是安全，不过作死程度也真蛮高的

SSL 当然有意义，不是同一个层面的东西
至于 iptables 本质上和你在服务器端做的 ip 限制是一码事，没必要部署

当然有意义。
我们的内部系统就是这样的，仅允许公司固定 IP 和 VPN IP 访问，其他 IP 直接 drop

理论上安全性提高相当多。。公司内部用的订单系统就是限定 IP 访问的。

另外，四层限制和代码上限制的安全性是不一样的。
四层限制基本上是无法突破的，除非有 kernel 级别 netfilter 相关的 bug 。
代码的限制可能有 bug ， httpd 层比如 nginx 的限制安全性相比代码高很多。
当然，对自己代码有绝对信心除外。

楼上说的正确，，其实最简单方便的就是，内部系统最好就是限制几个固定 ip ，，外网使用 vpn 。

限制只有 vpn 的虚拟网络能访问，用 otp 令牌，内网外网都用 IPSec 或其他强加密的 VPN 接入。

@lhbc 你们公司用的是 SSL VPN ？还是企业专线，固定 IP ？

@Nixus

1.
部分分公司有专线，固定 IP
部分分公司没有固定 IP ，就在网关做 SSL VPN 接入
部分员工分配 VPN 账号， VPN 兼容所有桌面和移动设备

2.
内部系统根据端口分不同的策略，比如邮件系统

1)
SSH, 管理端口 划为 管理组
443, smtp, imap, pop 划为 邮件组
25 划为 public 组

2)
然后把不同 IP 划到不同组，根据端口组和 IP 组做策略

堡垒机 管理组
办公室固定 IP 和 VPN IP 邮件组
0.0.0.0 public 组
其他端口不开放

3.
增加两步验证

@lhbc SSL VPN 使用什么实现的？ openVPN ，好贵呀， 10 个用户一年就要$9.6 ，目测我们公司需要 100 个用户，有没有替代品？

@lhbc 你们的搞得很专业，我们搞不来

@Nixus 有钱买思科设备， AnyConnect
没钱就开源吧， ocserv