首先,此方案非特别情况,不建议如此实施
作为VPN来讲,如果在一个内外网隔离的环境中部署零信任,常规的方案如下:
控制中心需要将443 端口映射到互联网上,提供用户接入 代理网关内外网打通,用来代理应用的访问
这么部署没有问题。 不过控制中心放在互联网区域,假如黑客入侵了互联网区域的一台PC,从而就可以对控制中心进行探测和攻击
针对于这种考虑,我推荐的部署方案如下:
将控制中心部署在内网区域,通过内网来运维,也可以通过VPN接入以后,发布控制台登录地址来运维
这种部署的优势在于控制中心不暴露在互联网区域,确保了控制中心的安全性
但是这种部署方案,因为互联网区域访问不到控制中心,所以就没法像常规的方法来进行端口映射
如果需要这么部署,需要用到一个免认证应用,将控制中心自己的登录界面,当作一个免认证的资源,发布出去
然后接入的时候需要通过域名来接入,域名解析的地址和端口,映射到代理网关上
如果没有申请域名,通过配置HOST文件,也是可以实现的
具体配置方法,如果需要,可以留言我会转到此帖子上(设备突然登录不上了,没法截图啦) |