巧用青雲vpn服務搭建安全內網
安全对于企业来讲越来越重要,但如何加强企业的安全需要方方面面的努力。其中对于关键资源进行访问来源的限制不失为 一种简单易行的解决方案。但具体到众多的中小企业来讲,这又是一个难题。因为他们都是通过各种nat的方式上网,无法获得固定的ip地址,限制访问资源也 就无从谈起。笔者近尝试通过青雲的vpn服务实现了一种简单易行的安全内网方案,供大家参考。
青雲是国内云计算领域的后起之秀,技术和体验俱佳。青雲提供了路由器,ip,私有网络等概念。我们可以利用他们提供的openvpn服务实现我们的安全访问目的。基本的步骤如下:
- 在青雲开通一台linux服务器,这台机器将是我们的跳板机,用它来登录到其他的系统。
- 在青雲的控制台里面创建一个私有网络,并将这台机器加入到这个私有网络中。
- 通過控制台申請一個公網的ip和路由器,並將ip添加到這個路由器上。
- 將剛剛創建的這個私有網絡連接到路由器上。
- 在路由器的詳情設置裏面打開vpn服務。
- 如果需要的話,還需要爲路由器設置防火牆,打開openvpn的端口。
到 这时候,服务器端的设置基本完毕,然后下载openvpn的证书文件,安装客户端并连接openvpn服务,就可以访问到我们在第一步里面开通的机器了。在win7或者win8系统运行openvpn客户端的时候,需要右键单击,用管理员运行,因为需要用route命令添加到私有网络的路由表。具体的操作 步骤在青雲网站上面有详细的说明,建议大家参考: https://docs.qingcloud.com/guide/vpn.html就不再贅述了。
完 成上面步骤之后,办公内网和远程的青雲私有网络之间就建立了一个安全的内网。青雲的这台私有网络机器就相当于我们的跳板机,其他机器的访问都是通过它来进 行中转的。比如我们通过iptables限定其他机器的ssh只能从跳板机才可以登录。我们又在跳板机上面搭建了一个proxy代理程序。我们一些公网上面的 蟬知網站管理后台就可以限定只能通过跳板机才可以访问。如果这台青雲的机器上在香港,还可以……,大家都懂的。
综上所述,青雲提供的openvpn服务简单方便,稳定可靠,不失为一种简单易行的安全内网方案。其实大家发挥想象,还可以做很多的事情。比如异地办公的同事可以实现互通等等。
青雲有很多细节处理的很好。比如一台机器在加入一个私有网络的时候,在这台机器的生命周期里面获得的ip地址是固定的,这一点很赞。但稍嫌不足的是openvpn的客户端还不能实现静态的ip地址,也无法对路由命令进行自定义。如果实现这两点的话,就锦上添花了。
