为什么通过 VPN 访问内网数据比直接把服务器暴露在公网更安全?

2023-04-23 01:31:50 +08:00
 UserName99

看到本站经常有人讨论把家里某台内网设备暴露在公网上时怎么增加安全性,很多人会建议使用 VPN 访问内网设备。很多企业也是使用 VPN 访问内网服务器数据的。但是为什么使用 VPN 就会更安全呢?我理解把内网设备暴露在公网从外面访问就跟平时访问网站是差不多的,而平时访问网站是能保证安全的。比如下面几个常见场景:

场景 1:在家里登录公司 VPN ,通过 VPN 往公司内网 GitLab 服务器提交代码。 场景 2:把公司 GitLab 服务器暴露在公网上,直接在家往 GitLab 提交代码。 场景 3:假设家里光猫有公网 IP ,通过 DDNS 和端口映射,可以实现在外面访问家里的 NAS 管理页面。 场景 4:把场景 3 改造一下,NAS 不暴露在公网上,先在树莓派上搭个 VPN 服务器,从外面先连接树莓派上的 VPN ,然后再访问内网 NAS 。

假设上面几种情况 VPN 、Git 、NAS 都是用账号密码的方式登录的,NAS 、GitLab 已开启 https 。

场景 2 和往 GitHub 提交代码安全性应该是一样的,既然 GitHub 能保证安全,为什么换成公司的 GitLab 就不安全了呢? 场景 4 里面,别人获取到 VPN 的账号密码就能进入内网,在场景 3 里别人获取 NAS 账号密码就能拿到 NAS 上的数据,拿到 VPN 的账号密码和拿到 NAS 的账号密码难度应该也是一样的。

此时场景 1 和场景 4 里面,VPN 增加的安全性体现在哪里?

6979 次点击
所在节点    程序员
43 条回复
cuixiao603
2023-04-23 14:31:18 +08:00
vpn 可以理解成守一个要塞,居高临下易守难攻
Les1ie
2023-04-23 15:22:09 +08:00
三个字:攻击面。网络安全性取决于最薄弱的一环,边界安全是第一步,之后再谈内网的安全。

只开启 VPN 的情况下,攻击面有且仅有 VPN 程序本身。
如果不使用 VPN 方案,那么攻击面有大量的应用。

一个应用出问题的概率和大量应用出问题的概率不言自明,常见的 OpenVPN 或者 WireGuard 之类的 VPN 应用在历史上也很少出现严重的漏洞,比三天两头出 RCE 的 gitlab 之类的 web 应用受攻击的概率小太多了。
a1274598858
2023-04-23 15:51:48 +08:00
sslvpn 了解一下,通过 CA 证书进行验证

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/934643

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX