这是一个创建于 1233 天前的主题,其中的信息可能已经有所发展或是发生改变。
前前司办公室网络有计算机被入侵,然后 顺藤摸瓜 侵入到了 IDC 和相关联的云上面。
想知道大厂是怎么做 内外网 还有 办公生产环境隔离的。
所以想学习一下大厂是怎么做的,谢谢赐教。
想知道大厂是怎么做 内外网 还有 办公生产环境隔离的。
所以想学习一下大厂是怎么做的,谢谢赐教。
 |
1
Jooooooooo 2021-06-30 22:48:36 +08:00
内网相关的东西只有 vpn 才能访问
|
 |
2
llopppp 2021-06-30 22:53:03 +08:00  1
内网外网网关控制
办公环境去往生产环境有堡垒机控制 办公环境企业域 办公环境身份认证(不同权限不同等级) 访客权限管理 全局访问管理 生产环境权限管理 关键设施权限管理 邮箱安全措施 等 |
 |
3
Tianao 2021-06-30 22:57:51 +08:00 via iPhone 2
千言万语围绕一个思路:零信任。不要想着内网外网生产网办公网,划网分区可以,但一张网一个区的内部也要视作彼此不信任的。
|
 |
4
wangxn 2021-06-30 23:07:24 +08:00
办公环境下连各种内网网站(域名解析到非公网 IP )没有什么特别的隔离。但各种服务器需要用跳板机登录是免不了的。
|
 |
5
monkey110 2021-06-30 23:36:21 +08:00
没什么特殊 vlan 堡垒机 强密码 完了
|
 |
6
MarkLeeyun 2021-07-01 00:44:34 +08:00
就是给个不同的权限吧。。。
|
 |
7
lc1450 2021-07-01 01:01:11 +08:00
网段隔离 防火墙 vpn 重点机器用动态密码登录
然后每个项目上线时开各种防火墙,刚进公司时一个跳板一周才搞定,最近还有个项目差点因为防火墙问题夭折 |
 |
8
cfanmark 2021-07-01 01:15:32 +08:00
网络访问控制列表(ACL)
|
 |
9
Jat001 2021-07-01 01:35:59 +08:00 1
就是简单的内外网隔离,内网的服务器连不上外网,特别 sb,运维的水平还停留在 20 年前,堡垒机竟然用的是某国产软件魔改的 ssh,不支持 key based authentication,每次要输动态密码,连 scp 都不能用,幸好 openssh 自带的 ControlMaster 能实现 session 复用,不用每次都输,不然得累死。
明明内网有 git 服务器,测试环境却不能访问,问其他人怎么传代码,竟然是 rz/sz,我十年前就开始玩 linux 了,都没听说过这玩意,还好运维没 sb 到只留一种文件传输方式,有个单独的 sftp 服务器,把文件传到 sftp 服务器再从上面传到目标机器上,我特想问运维听说过 rsync 吗。 我之前待的小公司,都能做到开发测试环境全部容器化,数据库、存储、日志等等全都用的云服务,虽然没做内外网隔离,不过又不需要登录服务器搞那干嘛。现在到了大公司,什么都是自建,问题是运维的水平这么差,自建的服务比云服务商提供的差太多了,错误追踪、日志投递、ci/cd 统统没有,一下回到解放前。 |
 |
10
billlee 2021-07-01 03:50:51 +08:00 1
登录服务器需要输 RSA token 上的动态口令。你就算物理进入办公室,没有 token 也登不上服务器
|
 |
11
msg7086 2021-07-01 03:56:55 +08:00 2
VPN 进内网需要 yubikey 鉴权。
普通人只有开发机权限,没有生产机权限。 能碰代码的人不能碰生产机,能碰生产机的人不能碰代码。 密码 3 个月一换。 笔记本全盘加密。 |
 |
12
bruce0 2021-07-01 09:11:38 +08:00
以前我们公司直接两台电脑,一台连公网,给你随便用,另一台只连内网,所有开发都在这台, 内外网传输东西,由 leader 控制
|
 |
13
Greenm 2021-07-01 09:17:17 +08:00 2
这玩意儿实施起来非常复杂和麻烦,要做好一套规模上万人的环境,起码得花个上百万。 但是说起来原理也比较简单,就是隔离。真正的难点是如何控制好安全和便利之间的平衡,在尽可能安全的前提下做到方便好用,是非常困难的。
当然便利性只是普通的企业需要,GOV 等高度涉密的单位直接物理断网,信号屏蔽,USB 全封,安全拉满。 |
 |
14
lamesbond 2021-07-01 11:02:22 +08:00
3 月份我司也被入侵了,电脑服务器都中招,当时就是没做好安全防护
|
 |
15
Eytoyes 2021-07-01 16:16:54 +08:00 1
可以参考符合《 GB/T 22239-2019 》等保要求的网络拓扑,各个级别都有明确的要求,大厂也都是在此基础上添砖加瓦的
|
 |
16
nightwitch 2021-07-18 11:23:49 +08:00
电脑 ioa 标准化,敏感操作需要验证 token
|
Select Language