关于在哪里设置用于方便访问公司网络的 VPN 服务器,是否有最佳实践,以及为什么?
以前,我在网关/核心路由器上设置了 VPN,但我知道现在为服务器设置 VM 是一种常见的做法。
从安全性和泄露风险的角度考虑,是否可以合理地假设,具有相同访问级别的站点到站点 VPN 可以在使用预共享密钥的路由器上,而用户到站点 VPN 应该在使用公钥/私钥技术的 aVM 上?
如果有所不同,首选的 VPN 技术是 OpenVPN。
答案1
我完全同意@Cristian Matthias Ambæk 的观点,即服务器应设置在防火墙后面。一般来说,面向公众的服务应放置在非军事区 (DMZ) 内,以禁止从互联网 (直接) 访问您的服务器或客户端 LAN。
根据您所指的公司规模,在 DMZ(专用服务器)内使用某些硬件来执行虚拟化可能是合理的。这样做可以消除位于 DMZ 硬件上的受感染虚拟机通过接管虚拟机管理程序来访问生产虚拟机的风险。
我不确定您在第三段中想表达什么。您是否认为远程访问 VPN 比站点到站点 VPN 更容易受到攻击?或者,您是否考虑将 IPSec 用于站点到站点 VPN,将 OpenVPN(使用 TLS)用于远程访问?尽管如此,我还是建议您也对站点到站点 VPN 使用 PKI 或使用非常长的 PSK 来提高安全性。