各位好~小弟服務的公司目前有遠端作業的需求
以前於其他公司服務時架設的方式是:(無防火牆,使用分享器開映對埠)
遠端使用者 -> 遠端連線主機 -> ERP主機 (此種方式安全性不足,主機有被攻擊過)
使用者是浮動IP,可否建議安全的架設方式?
目前想法是:
1.遠端使用者 -> 遠端連線主機 -> ERP主機 (維持原狀)
2.遠端使用者 -> VMware虛擬主機做映像還原 -> ERP主機 (測試後使用者反映效能不佳)
不知還有沒有其他可供參考的架設方式?
感謝各位先進指導
遠端使用者 -> VPN 取得內部IP -> 遠端連線主機 -> ERP主機
這應該是最簡單的,VPN有很多網路設備可以提供服務,相關安全性設定選擇也多
看要走SSL還是IPSec,至於遠端連線主機,回歸內部網路服務,將對外服務關閉
使用人數少的話還是直接轉成 遠端使用者 -> VPN 取得內部IP -> ERP主機
已RDS來說,除非要傳大檔案或者同時使用人數太多,不然VPN給的頻寬一般都足夠使用
遠端使用者 -> VPN 取得內部IP -> 遠端連線主機 -> ERP主機
我們公司目前就是這樣的規劃
古早時申請頻寬很貴,而且當時用的軟體,架構根本就有問題,往往撈個資料要等好久好久,不是單純頻寬的問題而已,連他們的資料庫設計都有問題。
現在只要兩端各申請一線種花光世代100M以上6固I,就可以用在上網、VoIP、視訊、遠端監控,當然,我們的Router上有設定使用VPN,這樣的架構就不曾有過問題了。
對了,我們公司的同事們都不習慣使用虛擬主機,而且我們之前也遇到過虛擬主機使用上有點小問題,所以現在都沒有在用了。
感謝兩位大大提供,想請教一下,如果透過VPN,需要另架伺服器嗎?或是從軟體操作?目前大約是7個USER會有外點需求但並不是同時使用
另外VPN連線後是否等同內部網路,可以存取內部環境的資料?
那這樣遠端主機還有必要存在嗎?
不好意思因為網路的延伸應用不是很熟,謝謝
以下資訊提供給樓主
Windows 10 RDP漏洞可讓駭客綁架連線
行政院資通安全技服中心大規模Windows RDP漏洞掃描行動現蹤
行政院資通安全技服中心微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708)
以上隨便網路搜尋找就有了,看了還敢用嗎?
所以,請千萬不要將主機開放給遠端RDP
只能開放給內網IP連線公司的ERP
(如何只用內網,用VPN+帳密orBYOD)
然後,內網記得主機要分隔網段
連通時必需有安全檢核(防毒、防入侵)
很基本的網路安全概念
如果沒有做,請盡快檢討
先考慮你家ERP的架構和網路規劃有沒有問題在談下一步
台灣某大廠的ERP都還有分出兩層式和三層式架構
兩層式就是使用者就直接ERP 有些公司就為了省錢導入了兩層式架構
連DB port都直接對外開放了
那就算多開個其他風險也沒啥差了
另外加遠端主機的做法是可以 雖然現在開始連RDP都不安全了
不過還是要把ERP的防火牆擋好縮小風險比較好