巧用青云vpn服务搭建安全内网
- 原创
- 2015-04-17 14:14:00
- 王春生
- 12539
安全对于企业来讲越来越重要,但如何加强企业的安全需要方方面面的努力。其中对于关键资源进行访问来源的限制不失为 一种简单易行的解决方案。但具体到众多的中小企业来讲,这又是一个难题。因为他们都是通过各种nat的方式上网,无法获得固定的ip地址,限制访问资源也 就无从谈起。笔者近尝试通过青云的vpn服务实现了一种简单易行的安全内网方案,供大家参考。
青云是国内云计算领域的后起之秀,技术和体验俱佳。青云提供了路由器,ip,私有网络等概念。我们可以利用他们提供的openvpn服务实现我们的安全访问目的。基本的步骤如下:
- 在青云开通一台linux服务器,这台机器将是我们的跳板机,用它来登录到其他的系统。
- 在青云的控制台里面创建一个私有网络,并将这台机器加入到这个私有网络中。
- 通过控制台申请一个公网的ip和路由器,并将ip添加到这个路由器上。
- 将刚刚创建的这个私有网络连接到路由器上。
- 在路由器的详情设置里面打开vpn服务。
- 如果需要的话,还需要为路由器设置防火墙,打开openvpn的端口。
到 这时候,服务器端的设置基本完毕,然后下载openvpn的证书文件,安装客户端并连接openvpn服务,就可以访问到我们在第一步里面开通的机器了。在win7或者win8系统运行openvpn客户端的时候,需要右键单击,用管理员运行,因为需要用route命令添加到私有网络的路由表。具体的操作 步骤在青云网站上面有详细的说明,建议大家参考: https://docs.qingcloud.com/guide/vpn.html就不再赘述了。
完 成上面步骤之后,办公内网和远程的青云私有网络之间就建立了一个安全的内网。青云的这台私有网络机器就相当于我们的跳板机,其他机器的访问都是通过它来进 行中转的。比如我们通过iptables限定其他机器的ssh只能从跳板机才可以登录。我们又在跳板机上面搭建了一个proxy代理程序。我们一些公网上面的 蝉知网站管理后台就可以限定只能通过跳板机才可以访问。如果这台青云的机器上在香港,还可以……,大家都懂的。
综上所述,青云提供的openvpn服务简单方便,稳定可靠,不失为一种简单易行的安全内网方案。其实大家发挥想象,还可以做很多的事情。比如异地办公的同事可以实现互通等等。
青云有很多细节处理的很好。比如一台机器在加入一个私有网络的时候,在这台机器的生命周期里面获得的ip地址是固定的,这一点很赞。但稍嫌不足的是openvpn的客户端还不能实现静态的ip地址,也无法对路由命令进行自定义。如果实现这两点的话,就锦上添花了。