各位前輩好,小弟是IT新手,問的問題有點淺,還請見諒
因為公司遇到一個客戶需求,需要開放一台PC給客戶Remote進來更新資料
考慮資安疑慮,我知道有兩個改Port方式提供客戶remonte進來
情境如下:
PC內網IP:192.168.1.1
對外IP:10.1.1.1
案例1:
在PC上調整遠端桌面連線port,改成7788
在ACL上設定只允許通過7788 port可以remote進來
實際客戶只能透過10.1.1.1:7788才能remote
案例2:
PC遠端port不改,維持3389,在防火牆上設定NAT對應7788<->3389
在ACL上設定只允許3389 port可以remote進來
實際客戶只能透過10.1.1.1:7788才能remote近來
哪個案例會相對比較安全呢? 還是其實效果是一樣的?
已邀請的邦友 {{ invite_list.length }}/5
機器是否相當重要?
簡單方式是,請對方遠端你的的電腦,用 teamviewer 或 anydesk 這類的軟體
你的電腦應該可以遠端那台內部主機
請對方這樣操作
好處是你可看著對方操作,對方不會亂搞你的主機
改port 去 nat 轉 port 都可算安全,您還可鎖上對方ip 會更好
當然您看著他操作,主機密碼您也不必給廠商那是最好的
聽起來好像差不多,
畢竟都不是預設Port.
不過10開頭的還是屬於內網吧,
你是怕自己人攻擊嗎?
如果要談資安的話, 近五年的重大變革是:
Zero Trust (零信任), 內網即外網
Zero Trust Network:威脅無所不在,不輕易信任才能確保資安
用白話文講:
內網已經不再是可信任的環境, 每一個單一裝置都可能化身成為攻擊來源, 與她在內網或外網環境無關. 所以防禦不能只靠內外網區隔, 每一個裝置本身, 都要盡可能提高自己的防禦能力, 以抵抗來自鄰居的威脅.
即使不談五年來的變化, 推遠到十年前,
「縱深防禦 Defense in depth」也是重要的資安觀念:
以多層式縱深防禦架構迎戰APT
用白話文講:
世界上沒有一道超強防禦可以阻絕所有攻擊, 每一項防禦機制都會有她自己的弱點, 唯有層層堆疊各種不同的防禦機制, 才能將弱點曝險的機率降到最低. 順道一提, 在風險管理上, 沒有「零風險」這種結果, 凡事都一定會有發生風險的機率.
以上兩個是觀念, 要如何落實到你的環境? 你可以自行設計實作方法.
iThome鐵人賽
看影片追技術