规避【虚拟专线技术】使用风险实现业务系统安全

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

一、技战法描述
VPN是利用Internet等公共网络基础设施，通过隧道加密通信技 术，为用户提供安全的数据通信的专用网络，可以实现不同网络之间 以及用户与网络之间的相互连接。当攻击者通过钓鱼邮件、VPN漏洞、弱口令等途径获取VPN接入权限，再仿冒其身份接入目标内网进行进一步渗透。解决这个问题，就要了解现有的网络安全架构，定义一套与业务相关的访问控制策略，解决VPN被控制后，有效保障内网内部资料、办公OA、ERP系统、项目管理系统等安全。
二、安全风险
1、直接针对具有VPN接入权限的VPN网络管理员、内部个人用户、分 支机构、合作伙伴或客户开展网络攻击，通过渗透窃取他们的VPN接入 账户口令或接入凭据，再仿冒其身份接入目标内网进行进一步渗透。
2、针对暴露在互联网侧的VPN网关设备开展攻击，通过设备漏洞 利用控制VPN网关设备，再利用边界网关设备控制权限和内外网连通的优势渗透内网。
三、安全防护体系

1、所有员工安装好VPN客户端，绑定手机号码开启强口令、空闲退出登录等强因素认证功能，业务都必须使用VPN完成认证才能访问。
2、VPN访问控制：明确好访问VPN的区域，如明确中国或只有某个省市才能登录VPN设备，减少暴露面的安全风险。
3、资源的访问控制：在VPN添加资源时，保证不同的用户只能访问到自己需要的访问资源；互联网防火墙需要对VPN的访问范围进行限制，禁止访问除服务器外的所有地址。
4、服务器的访问控制：服务器的网关都在核心上，每个服务器都单独在一个30位的掩码中，保证服务器之间不能做数据交互；服务器的边界防火墙对外开放服务器的对外端口、管理端口，其他端口都不开放；对于单向访问的服务器，使用防火墙限制，禁止访问互联网和公司的内网，防止反弹shell的链接。