这是一个创建于 266 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天发了一帖,都是关于本地化部署,如何远程运维相关的,本人描述的有点问题,造成了误解。实际上想问的是,如何让部署在内网服务器的应用,能让互联网用户能访问。比如 APP 端,和 pc-web 端直接调用。
甲方用户大多数是不允许通过开一个外网机器用 nginx 转发至内网来实现。说是有安全隐患。因此一般这种是有什么方案好做,或者有什么安全策略。
 | 1 gscsnm 266 天前 商用 VPN |
 | 2 javalaw2010 266 天前 无论如何内外网之间都要有个桥梁啊。。。不让用 nginx 的话那就是 VPN 或者内网穿透。 |
 | 3 Yanlongli 266 天前  2 省流:所有方案都 PASS 掉 因为甲方不想让互联网端的用户客户端连接到内网服务器的应用 想让互联网端的用户客户端能访问到,就必须要开外网访问 这是矛盾的 |
 | 4 lucasdev 266 天前 那就 VPN 了 |
 | 5 murmur 266 天前 找深信服的人聊聊他们会给你一整套方案 |
 | 6 beihai3body2 266 天前 cloudflare tunnel ,自建/商业 frp ,wireguard/zerotier+vps 反代,ipv6 直连,cloudflare cdn+本地 ipv6 |
 | 7 ssiitotoo 266 天前 直接在你们公司防火墙上端口映射 |
 | 8 xuanbg 266 天前 一次反代不行就再来一次。我们就是这么访问测试环境的服务的。 |
 | 9 tool2dx 266 天前 1. 用户医院内网不允许穿透,不允许搭建 VPN ,不允许 nginx 转发。 2. 要搭建患者自助平台,按照甲方要求,那就只能上云服务器了。 3. 要把外网用户数据传回内网,只能做纯粹的可安全审查的内网纯数据同步服务。 |
 | 10 shum02 266 天前 你要运维了叫个人去把外网网线插上,那个人作为责任人,他走了就要断掉 |
 | 11 txzh007 266 天前 ngrok/花生壳, 无非就是在堡垒机或者防火墙上端口映射出去 |
 | 12 kiracyan 266 天前 要求高得直接推荐深信服商用方案 |
 | 13 XDiLa 266 天前 IPSEC |
 | 14 chandlerbing9317 266 天前 说破天也得需要一个公网服务器的,不允许 nginx 那就找个公网服务器/路由器 上部署 wireguard 等 vpn ,通过 vpn 访问。但即使是 vpn ,也是需要用公网服务器转发到内网的,只不过多了加密认证 |
 | 15 blackmirror 266 天前 公网服务器一个,内网服务器,公网负责展示数据给 APP 端及 PC 端,或者 PC 端用内网访问,公网与内网通过网闸传输数据保证安全合规 |
 | 16 chrlee 266 天前 开专线,多开几个 IP 地址,直接绑定就行了 |
 | 17 Cruzz 266 天前 让甲方给深信服打电话,买他们家的零信任 |
 | 18 Niphor 266 天前 上零信任产品 |
 | 20 mylovesaber 266 天前 1 你这个需求在信创尤其是有密级的军政业务中是常见的场景,直接花钱买网闸这种安全硬件即可,内网和外网网段完全不同,通过硬件进行两种网络的连接和防护,要是被攻破,甲方会直接问责硬件厂家而不是你们。 |
 | 21 salmon5 266 天前 都出差到甲方机房,谁需要访问,谁通过网线连甲方服务器,不连了就拔掉。 |
 | 22 marcosteam 266 天前 深信服 ATrust |
 | 23 LpLp 266 天前 你是否在寻找,堡垒机/jumpserver |
 | 24 lthero 266 天前 用 zerotier 创建虚拟局域网,任何加入到此局域网的设备需要在后台审核才能通过( zerotier 自带此功能),加入后的设备就能访问内网服务器的应用了; |
 | 25 FarAhead 266 天前 招一群人每天把公网来的二进制数据打印下来输入到内网,再招一群人每天把内网回的二进制数据打印下来输入到公网 |
 | 26 sc2yml 266 天前 深信服 ATrust ,我单位停车场充电、食堂特色菜都要先登录移动版鉴权,移动鉴权要先 ATrust 登陆才能正常登录 |
 | 27 abu 266 天前 标准的跨网数据交换应该是用网闸或者光闸 |
 | 28 LnTrx 266 天前 相互矛盾,说明还没有搞清楚甲方真正的需求 |
 | 29 aigkjo 266 天前 via iPad 弄个前置供用户访问?只允许前置的 ip 才能接入内网? |
 | 30 yufeng0681 265 天前 @mylovesaber #20 做政务系统时遇到过一次,用的是网闸方案。其实本质就是开放了指定端口,其他端口不暴露而已。 如果想远程运维(定位 bug 和升级版本),就要开 ssh 端口,这样其实安全性也没有了。 不开,就得排人蹲守甲方机房,浪费一个人力,成本抖升。 |
 | 31 yinmin 265 天前 via iPhone 给企业内部员工从互联网访问:用 vpn 给互联网普通用户访问:做前后台 2 个子系统,后台部署在内网,前台部署在互联网的 dmz 区域,用网闸做数据同步。如果安全等级不高的话,前后台用网闸做 api 调用。 |
| 32 mylovesaber 262 天前 @yufeng0681 ssh 只能走堡垒机,不能直接远程开好,密级项目一般处理过后,遇到问题都得现场去人的 |
Select Language