一,直接通过公网IP访问的风险
初期,我们在公司云服务器和本地局域网都部署了文件系统,并且都申请了公网IP,然后我们是直接通过公网IP+开放端口来访问公司的内部文件,比如:abc.com:8000,这样即使离开公司,所有人依然能在外面随时访问公司内部文件。
但是随着公司内部人员岗位的调整,针对有些岗位或者成员,我们产生了需要能限制其在公司外面访问的需求。
同时,由于暴露了公网端口,也可能导致外部黑客扫描或者入侵,这些风险都是潜在存在的,所以解决安全访问问题变得非常重要了。
为此我们开始寻求一些解决办法或者预案,比如安装防火墙,限制白名单访问。
这两种方法确实能一定程度上有效防范风险,但是也存在两个难以解决的问题。
1,防火墙配置繁琐,并且需要一定专业技术能力
2,白名单方式操作繁琐,有时自己管理人员访问还需要经过先加白名单再访问,操作不便
在使用一段时间后,我们不胜其烦,因为总有一些莫名的原因,今天不是这个成员某些操作被防火墙勿拉黑,明天就是那个成员IP变动要重新设置白名单,意味着公司需要一个技术人员随时待命进行处理,这样为了安全额外增加了很多成本,还一定程度影响了办公效率。
后续我们通过异地组网方式,采用内网访问公司内部设备,极大的提高访问安全性,同时降低了管理复杂度。
二,内网访问
公司多个分部进行异地组网,然后通过公司内网来访问数据,对于中大型公司是常规操作,基本公司到一定规模就会采用此方式,此种方式更安全,更高效。但是通常需要采购相关的设备和技术人员进行维护,成本是比较高昂。
通常此类设备集防火墙,流控,组网等功能一体,所以硬件设备成本高,技术维护费用也高,一般只有中大型公司能承受。
而我们其实并不需要大部分的功能,如防火墙,流控,行为日志等功能,只需要进行异地组网通过内网访问即可。
所以我们测试并完善了通过一台普通Windows电脑作为中心服务器,就能进行异地组网的方式,让整个部署和维护变得非常简单,至于防火墙,用Windows或者linux自带的即可。
可以做到无需购买任何设备,即可实现公司异地组网,将公司多个分部互联,同时能自定义限制哪些区域只能通过内网访问,包括限制在哪个路由器网络下才能访问。
而针对公司管理人员,仍然可以直接通过公司外网访问,自由度和灵活度非常高,并且日常使用和管理也非常简单,无需专业技术人员进行维护。
