这是一个创建于 376 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天发了一帖,都是关于本地化部署,如何远程运维相关的,本人描述的有点问题,造成了误解。实际上想问的是,如何让部署在内网服务器的应用,能让互联网用户能访问。比如 APP 端,和 pc-web 端直接调用。
甲方用户大多数是不允许通过开一个外网机器用 nginx 转发至内网来实现。说是有安全隐患。因此一般这种是有什么方案好做,或者有什么安全策略。
 |
1
gscsnm 2025 年 1 月 17 日
商用 VPN
|
 |
2
javalaw2010 2025 年 1 月 17 日
无论如何内外网之间都要有个桥梁啊。。。不让用 nginx 的话那就是 VPN 或者内网穿透。
|
 |
3
Yanlongli 2025 年 1 月 17 日  2
省流:所有方案都 PASS 掉
因为甲方不想让互联网端的用户客户端连接到内网服务器的应用 想让互联网端的用户客户端能访问到,就必须要开外网访问 这是矛盾的 |
 |
4
lucasdev 2025 年 1 月 17 日
那就 VPN 了
|
 |
5
murmur 2025 年 1 月 17 日
找深信服的人聊聊他们会给你一整套方案
|
 |
6
beihai3body2 2025 年 1 月 17 日
cloudflare tunnel ,自建/商业 frp ,wireguard/zerotier+vps 反代,ipv6 直连,cloudflare cdn+本地 ipv6
|
 |
7
ssiitotoo 2025 年 1 月 17 日
直接在你们公司防火墙上端口映射
|
 |
8
xuanbg 2025 年 1 月 17 日
一次反代不行就再来一次。我们就是这么访问测试环境的服务的。
|
 |
9
tool2dx 2025 年 1 月 17 日
1. 用户医院内网不允许穿透,不允许搭建 VPN ,不允许 nginx 转发。
2. 要搭建患者自助平台,按照甲方要求,那就只能上云服务器了。 3. 要把外网用户数据传回内网,只能做纯粹的可安全审查的内网纯数据同步服务。 |
 |
10
shum02 2025 年 1 月 17 日
你要运维了叫个人去把外网网线插上,那个人作为责任人,他走了就要断掉
|
 |
11
txzh007 2025 年 1 月 17 日
ngrok/花生壳, 无非就是在堡垒机或者防火墙上端口映射出去
|
 |
12
kiracyan 2025 年 1 月 17 日
要求高得直接推荐深信服商用方案
|
 |
13
XDiLa 2025 年 1 月 17 日
IPSEC
|
 |
14
chandlerbing9317 2025 年 1 月 17 日
说破天也得需要一个公网服务器的,不允许 nginx 那就找个公网服务器/路由器 上部署 wireguard 等 vpn ,通过 vpn 访问。但即使是 vpn ,也是需要用公网服务器转发到内网的,只不过多了加密认证
|
 |
15
blackmirror 2025 年 1 月 17 日
公网服务器一个,内网服务器,公网负责展示数据给 APP 端及 PC 端,或者 PC 端用内网访问,公网与内网通过网闸传输数据保证安全合规
|
 |
16
chrlee 2025 年 1 月 17 日
开专线,多开几个 IP 地址,直接绑定就行了
|
 |
17
Cruzz 2025 年 1 月 17 日
让甲方给深信服打电话,买他们家的零信任
|
 |
18
Niphor 2025 年 1 月 17 日
上零信任产品
|
 |
20
mylovesaber 2025 年 1 月 17 日 1
你这个需求在信创尤其是有密级的军政业务中是常见的场景,直接花钱买网闸这种安全硬件即可,内网和外网网段完全不同,通过硬件进行两种网络的连接和防护,要是被攻破,甲方会直接问责硬件厂家而不是你们。
|
 |
21
salmon5 2025 年 1 月 17 日
都出差到甲方机房,谁需要访问,谁通过网线连甲方服务器,不连了就拔掉。
|
 |
22
marcosteam 2025 年 1 月 17 日
深信服 ATrust
|
 |
23
LpLp 2025 年 1 月 17 日
你是否在寻找,堡垒机/jumpserver
|
 |
24
lthero 2025 年 1 月 17 日
用 zerotier 创建虚拟局域网,任何加入到此局域网的设备需要在后台审核才能通过( zerotier 自带此功能),加入后的设备就能访问内网服务器的应用了;
|
 |
25
FarAhead 2025 年 1 月 17 日
招一群人每天把公网来的二进制数据打印下来输入到内网,再招一群人每天把内网回的二进制数据打印下来输入到公网
|
 |
26
sc2yml 2025 年 1 月 17 日
深信服 ATrust ,我单位停车场充电、食堂特色菜都要先登录移动版鉴权,移动鉴权要先 ATrust 登陆才能正常登录
|
 |
27
abu 2025 年 1 月 17 日
标准的跨网数据交换应该是用网闸或者光闸
|
 |
28
LnTrx 2025 年 1 月 17 日
相互矛盾,说明还没有搞清楚甲方真正的需求
|
 |
29
aigkjo 2025 年 1 月 17 日 via iPad
弄个前置供用户访问?只允许前置的 ip 才能接入内网?
|
 |
30
yufeng0681 2025 年 1 月 18 日
@mylovesaber #20 做政务系统时遇到过一次,用的是网闸方案。其实本质就是开放了指定端口,其他端口不暴露而已。
如果想远程运维(定位 bug 和升级版本),就要开 ssh 端口,这样其实安全性也没有了。 不开,就得排人蹲守甲方机房,浪费一个人力,成本抖升。 |
 |
31
yinmin 2025 年 1 月 18 日 via iPhone
给企业内部员工从互联网访问:用 vpn
给互联网普通用户访问:做前后台 2 个子系统,后台部署在内网,前台部署在互联网的 dmz 区域,用网闸做数据同步。如果安全等级不高的话,前后台用网闸做 api 调用。 |
|
32
mylovesaber 2025 年 1 月 21 日
@yufeng0681 ssh 只能走堡垒机,不能直接远程开好,密级项目一般处理过后,遇到问题都得现场去人的
|
Select Language