- 公司内部网络是安全的
- 堡垒机有帐号认证
- 有防火墙
- 公司有固定公网 IP
主流好像都是需要,但是最近在考虑真的需要吗,不知道是不是我漏了什么关键点
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 2210 days ago, the information mentioned may be changed or developed.
Supplement 1 · May 7, 2020
感谢各位的建议
首先堡垒机是有两步验证的,是我没提到
关于“公司内部网络是安全的”这个点,假设不安全,即使用了 vpn 也会存在 key 被盗取的现象吧
我其实比较倾向 8 楼的看法,专注于公司办公网络和 IDC 之间的通信,做好访问控制,特别需要的,才会使用 vpn
首先堡垒机是有两步验证的,是我没提到
关于“公司内部网络是安全的”这个点,假设不安全,即使用了 vpn 也会存在 key 被盗取的现象吧
我其实比较倾向 8 楼的看法,专注于公司办公网络和 IDC 之间的通信,做好访问控制,特别需要的,才会使用 vpn
 |
1
jzphx May 7, 2020
光 134 就能做到很安全了。很多小公司没这条件,也不整虚拟专用网络,ssh db redis 端口全部向公网暴露,然后还有猪队友泄露在 github 上。
|
 |
2
defunct9 May 7, 2020
不需要
|
 |
3
amaranthf May 7, 2020
1 和 3 并不完全可靠,而 vpn 的登录通常会需要员工专用的帐号密码,相当于再加一层安全措施,并不是没有用的。这就跟安保级别很高的地方,需要多个人的多把钥匙一样。
当然安全性和易用性肯定是负相关的,怎么平衡就看各公司怎么处理了。 |
 |
4
Renylai May 7, 2020  2
一般问题都出在 1
|
 |
5
realpg PRO 全部管理暴露公网的飘过……
这样才能促进更安全 |
 |
6
Sk3y May 7, 2020
2 再加个 MFA 吧
|
 |
8
swulling May 7, 2020
公司办公网:通过堡垒机访问 IDC 网络
外网:VPN 先拨入办公网,然后再通过堡垒机访问 IDC 网络 堡垒机按照安全规范不能依赖于固定的账号密码,而是需要开启两步认证( RSA Token 、手机短信、IM 通知、扫码认证等均可) |
 |
9
huangmingyou May 7, 2020
遇到过两次开发人员下载盗版 ssh 工具,被后门的情况
|
 |
10
ohao May 7, 2020
需要
安全只是其一,有些公司需要做安全和行为审计,合规性,在专用网络层会记录信息 |
 |
11
rb6221 May 7, 2020 via iPhone
你把 1234 合在一起,这些条件是不是 vpn 就可以都满足了?
所以如果某些公司没有你这个条件,是不是就用 vpn 就可以解决所有问题了? |
 |
12
JoeoooLAI May 7, 2020
内网才是最大威胁,做好用户行为管理,在有防火墙,端口不乱开,密码强度够且经常更改,防毒软件别省钱的情况下,其实足够安全。当然有能力套虚拟专用网 那是最好,减少开放端口的风险。
|
 |
13
doveyoung OP |
 |
15
catning May 7, 2020
我提一个假设,1234 安全度是 90%,加上 vpn 安全度是 99%。你觉得你会怎么选?
ps:内部网络安全不要太依赖,总有人在做某些操作的时候忘记了安全。 |
 |
16
xuanbg May 7, 2020
内部网络不安全的呀,你的同事电脑上面不知道有多少木马呢。
|
 |
18
ps1aniuge May 8, 2020
-------linux------
服务器 SSH 端口被不断试探登录,怎么防护? 答: 我 at 所有看帖人,我用 powershell 写了一个工具《弹性 sshd 端口》, 入 qq 群,183173532,,1 元辛苦费找我购买。 写作目的: 1 富强。 2 防止黑客从端口穷举密码。 脚本特性: 1 弹性 sshd 端口,随机 n 分钟,更换端口。 2 用 powershell 在客户机输出弹性端口,你就可以用 plink 连接此端口。 系统需求: 1 支持 opensshd,支持 dropbear 。支持 linux,支持 win,但你需要告诉我你的 sshd_config 的位置。 2 必须在服务端,客户端安装 powershell 。对于 win 服务端,客户端,这不是问题。因为系统已经集成 powershell 了 -------win------- 如何增加 winrm 远程命令行的安全? 答: winrm 默认使用 http+5985 端口,密码传输加密,数据、命令传输明文。 有被人窃取机密,和插入攻击命令的风险,也就是所谓的中间人攻击。不过呢,其实问题不大。 解决的话,启用 https 版的 winrm,或者在 http 外面套上 vpn 即可。 强调一遍:win2012r2,win2016,win2019 默认开启这种 http 的 5985 端口。 如何建立证书并使用呢?请看走进 winrm 之 4 个安全级别! https://www.cnblogs.com/piapia/p/11897713.html |
Select Language