讨论向-在公司时，访问 IDC 设备是否真的需要虚拟专用网络

光 134 就能做到很安全了。很多小公司没这条件，也不整虚拟专用网络，ssh db redis 端口全部向公网暴露，然后还有猪队友泄露在 github 上。

不需要

1 和 3 并不完全可靠，而 vpn 的登录通常会需要员工专用的帐号密码，相当于再加一层安全措施，并不是没有用的。这就跟安保级别很高的地方，需要多个人的多把钥匙一样。
当然安全性和易用性肯定是负相关的，怎么平衡就看各公司怎么处理了。

一般问题都出在 1

全部管理暴露公网的飘过……
这样才能促进更安全

2 再加个 MFA 吧

@Renylai +1,而且根据我的经验,这是最大的漏洞

公司办公网：通过堡垒机访问 IDC 网络
外网：VPN 先拨入办公网，然后再通过堡垒机访问 IDC 网络

堡垒机按照安全规范不能依赖于固定的账号密码，而是需要开启两步认证（ RSA Token 、手机短信、IM 通知、扫码认证等均可）

遇到过两次开发人员下载盗版 ssh 工具，被后门的情况

需要
安全只是其一，有些公司需要做安全和行为审计，合规性，在专用网络层会记录信息

你把 1234 合在一起，这些条件是不是 vpn 就可以都满足了？
所以如果某些公司没有你这个条件，是不是就用 vpn 就可以解决所有问题了？

内网才是最大威胁，做好用户行为管理，在有防火墙，端口不乱开，密码强度够且经常更改，防毒软件别省钱的情况下，其实足够安全。当然有能力套虚拟专用网 那是最好，减少开放端口的风险。

@janus77 #11 好像是这样没错。。可是我有 1234 啊~所以是不是就没必要上那个了……

@JoeoooLAI #12 “套虚拟专用网最好”这里其实就是我的疑问，有必要吗，感觉像是在锁外面加了一个锁

@doveyoung #13 理论上是这样，不过呢，安全总是和便捷冲突的，不排除某些公司要求的安全等级比较高……另外也有某些领导思维独特的因素

我提一个假设，1234 安全度是 90%，加上 vpn 安全度是 99%。你觉得你会怎么选？

ps：内部网络安全不要太依赖，总有人在做某些操作的时候忘记了安全。

内部网络不安全的呀，你的同事电脑上面不知道有多少木马呢。

@xuanbg #16 如果他的电脑上有木马，用不用 vpn 都一样吧……

-------linux------
服务器 SSH 端口被不断试探登录，怎么防护？
答：
我 at 所有看帖人，我用 powershell 写了一个工具《弹性 sshd 端口》，
入 qq 群，183173532，，1 元辛苦费找我购买。
写作目的：
1 富强。
2 防止黑客从端口穷举密码。

脚本特性：
1 弹性 sshd 端口，随机 n 分钟，更换端口。
2 用 powershell 在客户机输出弹性端口，你就可以用 plink 连接此端口。

系统需求：
1 支持 opensshd，支持 dropbear 。支持 linux，支持 win，但你需要告诉我你的 sshd_config 的位置。
2 必须在服务端，客户端安装 powershell 。对于 win 服务端，客户端，这不是问题。因为系统已经集成 powershell 了

-------win-------
如何增加 winrm 远程命令行的安全？
答：
winrm 默认使用 http+5985 端口，密码传输加密，数据、命令传输明文。
有被人窃取机密，和插入攻击命令的风险，也就是所谓的中间人攻击。不过呢，其实问题不大。
解决的话，启用 https 版的 winrm，或者在 http 外面套上 vpn 即可。
强调一遍：win2012r2，win2016，win2019 默认开启这种 http 的 5985 端口。
如何建立证书并使用呢？请看走进 winrm 之 4 个安全级别！
https://www.cnblogs.com/piapia/p/11897713.html