首先我要告诉你,我不是很懂技术,但需要为某人提供一些指导,我希望你能提供帮助。
情况是:
- Dev 和 Prod 子网(不确定它们是否位于不同的 VLAN,但在不同的子网上)
- 目前的内部开发人员显然需要访问生产网络和开发网络,因此完全隔离它们可能不是一个选择
- 他们现在还需要向离岸开发公司提供开发网络的访问权限,但要确保产品的安全
他们有一台防火墙和一台 Citrix 网关,正在寻求设置 VPN 访问其网络。您有没有什么想法可以最好地解决此问题?
答案1
将开发和生产放在不同的 VLAN 中,从离岸到您的公司建立 VPN。允许从开发到生产的 VLAN 间路由,允许从开发到 VPN 的路由。禁止从离岸到生产的任何流量。使用防火墙/ACL 强制执行此操作。也许在您的 VPN 上设置一个 IDS 到开发。
这是我能想到的最好的办法,因为完全隔离这些网络可能对你来说不是一个选择。唯一能危及你生产安全的方法就是有人从海外进入开发机器。所以一定要执行防火墙策略。