V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
tkwl
V2EX  ›  问与答

请问怎么才能安全的访问内网 OA

  •  
  •   tkwl · 2023-04-21 06:54:15 +08:00 via iPhone · 1812 次点击
    这是一个创建于 592 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司没有固定 IP ,但是想通过公网访问 OA 系统,有没有什么安全的办法?
    1 、通过云上的服务器反向穿透过去,将 OA 登录页面暴露在公网,但是这种方式直接暴露 OA 页面担心被攻击不安全。
    2 、通过云上的服务器登录到硬件防火墙的 VPN 上,然后再访问 OA ,这种能否控制只看到 OA 系统,不进入公司内网?
    3 、还有没有更科学安全的方法?
    15 条回复    2023-10-11 22:19:45 +08:00
    louisxxx
        1
    louisxxx  
       2023-04-21 07:20:01 +08:00
    通过云上的服务器反向穿透过去,将 OA 登录页面暴露在公网,但是这种方式直接暴露 OA 页面担心被攻击不安全。
    难道你就不能加一个简单的 HTTP 密码验证
    Stunt4013
        2
    Stunt4013  
       2023-04-21 07:33:15 +08:00 via Android
    cloudflare tunnel
    datocp
        3
    datocp  
       2023-04-21 07:49:03 +08:00 via Android
    研究 softether ,自带 ddns 。vpn 进内网安全无忧。可以安装在 Windows/openwrt/linux 。
    支持二层桥 /三层路由 /acl 访问控制 /命令行变换端口 /虚拟 hub 条条大路通罗马,功能多得一踏糊涂,还有 gui 管理界面。
    softether 最好的 vpn 。
    lovelylain
        4
    lovelylain  
       2023-04-21 08:11:00 +08:00 via Android
    你整方案是公司授意还是你私自的,私自的话无论多么合理安全,都不一定符合公司的内网安全规范。方案的话,简单搞可以用 frp 的 stcp 模式,这样端口是以加密的方式暴露在公网,需要部署 frp 客户端才能访问。
    tkwl
        5
    tkwl  
    OP
       2023-04-21 09:05:57 +08:00
    @louisxxx 密码验证还是有的,但是我对 OA 供应商防攻击没啥信心,而且是否 HTTP 暴露在公网是否还需要去做备案
    tkwl
        6
    tkwl  
    OP
       2023-04-21 09:06:46 +08:00
    @datocp 以前个人用过 softerther 做 VPN ,我去研究一下安全策略
    tkwl
        7
    tkwl  
    OP
       2023-04-21 09:10:44 +08:00
    @lovelylain 当然是公司方案,个人的话外网没有 OA 需求:)
    JayZXu
        8
    JayZXu  
       2023-04-21 09:15:47 +08:00
    搭个私人 zerotier ,授权访问,这样既不会暴露在内网,也能控制访问权限。缺点就是需要一台公网 IP 的服务器。
    kwkwkkk
        9
    kwkwkkk  
       2023-04-21 11:44:38 +08:00
    暴露公网要备案,不要和业务域名一样,不然会停止解析。。。。。真实案例,最好用 SSL VPN 访问内网
    tkwl
        10
    tkwl  
    OP
       2023-04-21 14:26:51 +08:00
    @kwkwkkk 感谢,防火墙内置 50 个 VPN ,看看能不能走 IPSec VPN
    stcQ2G13k9yxep40
        11
    stcQ2G13k9yxep40  
       2023-04-21 15:48:48 +08:00
    内网自己搭一个 VPN 服务器,防火墙端口映射一下就好了。我这边搭的 ocserv ,用 cisco anyconnect 连接,很稳。不过我们是有公网 IP ,用 ddns 绑定公网出口也一样的。
    gsls200808
        12
    gsls200808  
       2023-04-21 15:56:09 +08:00
    内网搭 openvpn 服务端,如果需要管理界面可以用 as 版,然后 frp/nps 等映射连接的 tcp/udp 端口到公网,客户端配置里的 ip 端口改成公网的即可。openvpn 可以设置互联网流量不走内网,并且可以设置可以访问内网哪些网段 /ip 。as 版可以设置单用户可以访问哪些 ip 。有一些 VPN 协议是需要走二层协议的,frp 内网映射到公网是三层协议,二层的报文是过不去的,没有公网的情况下建议先 pass 掉这些二层协议。
    tkwl
        13
    tkwl  
    OP
       2023-04-21 16:07:15 +08:00
    @gsls200808 好的,可以去尝试下
    troilus
        14
    troilus  
       2023-04-25 15:47:34 +08:00
    cloudflare tunnel 、V2ray 、zerotier
    David666
        15
    David666  
       2023-10-11 22:19:45 +08:00
    购买深信服的零信任,可解决以上问题,需要可联系我
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5815 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 03:18 · PVG 11:18 · LAX 19:18 · JFK 22:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.