我在一家中型组织工作,该组织在域上建立。我们为 VPN 访问设置了硬件防火墙,并在每位用户的计算机上设置了客户端,用于办公室外的网络访问。我们有一位新客户,他希望我们通过连接到他们的 VPN 与他们共享数据。在考虑这种情况时,我应该注意哪些信息?这样做会不会弊大于利?客户的 IT 部门让我们觉得我们不应该遇到任何问题,但我认为这不是一个好主意。请发表意见。
答案1
对两个 LAN 中的 RFC 1918(私有)IP 地址进行快速审核。如果你们都使用无处不在的 192.168.1.0/24 网络,这可能会带来很大的麻烦。
除了潜在的网络混乱之外,还要仔细考虑您这边的 VPN 会暴露哪些服务器,以及如何保护它们免受通过隧道路由的流量攻击。
答案2
我们与重要的合作伙伴/客户也这样做,但对双方可以访问的内容应用 ACL。这与通常应用的最小权限概念基本相同。
例如,如果客户需要访问我网络中的 Web 服务,则他的网络仅允许通过端口 80 访问 1 个服务器。相反,他们不会允许任何来自我网络的流量。