V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Nixus
V2EX  ›  问与答

网站做了 IP 地址限制,只允许 5 个 IP 访问……

  •  
  •   Nixus · 2016-03-12 17:41:17 +08:00 · 2375 次点击
    这是一个创建于 3181 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这样做,能有多安全呢?
    还有没有必要做 SSL VPN , iptables 加固,应用层面上,是否还需要做 IP 限制?
    在这个基础上,应用层面还有哪些需要注意的地方?

    15 条回复    2016-03-14 18:37:55 +08:00
    laiyingdong
        1
    laiyingdong  
       2016-03-12 18:01:25 +08:00
    是什么网站? DDoS 可不管你几个 IP
    Nixus
        2
    Nixus  
    OP
       2016-03-12 18:04:14 +08:00
    @laiyingdong 公司 OA 。限制 IP 是说,只允许某几个 IP 访问,比如只允许 1.1.1.1 、 2.2.2.2 、 3.3.3.3 、 4.4.4.4 、 5.5.5.5 可以访问这个网站,其它 IP 的网站都不给访问
    laiyingdong
        3
    laiyingdong  
       2016-03-12 18:08:02 +08:00   ❤️ 1
    @Nixus 局域网内还是外,如果你确定只需要公司的几个固定节点的 IP 访问的话那么确实能提升安全性 一般来说外面不知道也没人能对你怎么样 SSL VPN 当然是安全的
    Strikeactor
        4
    Strikeactor  
       2016-03-12 18:16:39 +08:00   ❤️ 1
    我记得之前有个新闻, FBI 给恐怖组织的电脑里安的木马就是写死了 IP 的,然后由于运营商的变动导致他们永远的丧失了那个 IP 的控制权,导致必需临时让运营商广播那个 IP 的假地址来连上木马修改写死的 IP 。。

    如果是在 iptables 这种内核级防火墙上做的限制,安全是安全,不过作死程度也真蛮高的
    SoloCompany
        5
    SoloCompany  
       2016-03-12 18:26:51 +08:00   ❤️ 1
    SSL 当然有意义,不是同一个层面的东西
    至于 iptables 本质上和你在服务器端做的 ip 限制是一码事,没必要部署
    lhbc
        6
    lhbc  
       2016-03-12 19:08:29 +08:00 via Android   ❤️ 1
    当然有意义。
    我们的内部系统就是这样的,仅允许公司固定 IP 和 VPN IP 访问,其他 IP 直接 drop
    alect
        7
    alect  
       2016-03-12 20:46:59 +08:00   ❤️ 1
    理论上安全性提高相当多。。公司内部用的订单系统就是限定 IP 访问的。
    lhbc
        8
    lhbc  
       2016-03-12 21:11:07 +08:00 via Android   ❤️ 1
    另外,四层限制和代码上限制的安全性是不一样的。
    四层限制基本上是无法突破的,除非有 kernel 级别 netfilter 相关的 bug 。
    代码的限制可能有 bug , httpd 层比如 nginx 的限制安全性相比代码高很多。
    当然,对自己代码有绝对信心除外。
    tadtung
        9
    tadtung  
       2016-03-12 22:02:40 +08:00   ❤️ 1
    楼上说的正确,,其实最简单方便的就是,内部系统最好就是限制几个固定 ip ,,外网使用 vpn 。
    chinvo
        10
    chinvo  
       2016-03-12 22:05:59 +08:00   ❤️ 1
    限制只有 vpn 的虚拟网络能访问,用 otp 令牌,内网外网都用 IPSec 或其他强加密的 VPN 接入。
    Nixus
        11
    Nixus  
    OP
       2016-03-14 16:43:13 +08:00
    @lhbc 你们公司用的是 SSL VPN ?还是企业专线,固定 IP ?
    lhbc
        12
    lhbc  
       2016-03-14 16:58:18 +08:00   ❤️ 1
    @Nixus

    1.
    部分分公司有专线,固定 IP
    部分分公司没有固定 IP ,就在网关做 SSL VPN 接入
    部分员工分配 VPN 账号, VPN 兼容所有桌面和移动设备

    2.
    内部系统根据端口分不同的策略,比如邮件系统

    1)
    SSH, 管理端口 划为 管理组
    443, smtp, imap, pop 划为 邮件组
    25 划为 public 组

    2)
    然后把不同 IP 划到不同组,根据端口组和 IP 组做策略

    堡垒机 管理组
    办公室固定 IP 和 VPN IP 邮件组
    0.0.0.0 public 组
    其他端口不开放

    3.
    增加两步验证
    Nixus
        13
    Nixus  
    OP
       2016-03-14 18:07:50 +08:00
    @lhbc SSL VPN 使用什么实现的? openVPN ,好贵呀, 10 个用户一年就要$9.6 ,目测我们公司需要 100 个用户,有没有替代品?
    Nixus
        14
    Nixus  
    OP
       2016-03-14 18:09:02 +08:00
    @lhbc 你们的搞得很专业,我们搞不来
    lhbc
        15
    lhbc  
       2016-03-14 18:37:55 +08:00   ❤️ 1
    @Nixus 有钱买思科设备, AnyConnect
    没钱就开源吧, ocserv
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5367 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 09:30 · PVG 17:30 · LAX 01:30 · JFK 04:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.