【天逸出品】【第六十一期】攻防期间如何更安全的加固VPN

咱们在交付VPN的时候，常规部署，一般都是把设备旁挂在核心交换机上，做旁路部署，然后通过出口设备进行端口映射来使用

拓扑如下图所示：

这么部署使用是没问题的，但是在有些特殊的时间段，比如HW攻防期间，VPN往往成了众矢之的

特别是SSLvpn  他不能像零信任那样，可以做端口SPA进行隐藏，他的登录页面是一直暴露在公网的

这次我的一个客户就是这样一个部署场景，他有好几个隐患问题

1、VPN版本比较低，虽然可以打HW补丁，但是VPN是不是能被入侵掉，这个谁也不敢百分百的去保证

2、VPN用户权限混乱，当时部署的时候为了方便，直接就把内网段做成一个L3资源分配给了用户

3、使用用户的 用户名和密码都比较简单，常用的user1、user2这种用户名，加上弱密码。想猜不对，太难了。

客户要求对VPN进行加固一下，减少一下隐患，还不能影响正常使用，要让用户无感知

我这边给的加固方案如下：

第一步还是打护网包

把已知的隐患先通过打包排除一下，这个过程不介绍了，大家都会

第二步，调整VPN接入位置

由旁挂核心，调整到旁挂出口防火墙

别看只是插拔了一下线，VPN这样到内网的交互全部要通过一遍防火墙,安全系数提高了很多

首先防火墙上单独开一个接口

这个IP地址随便定义，跟内网不冲突即可，用来跟VPN互联

由于划分了新的区域，就可以对新区域进行应用访问策略和安全防护策略

因为是出口防火墙，所以不用考虑回包的问题，交换机有默认路由到出口，就可以回包给VPN了

VPN的默认路由改一下，改到防火墙的接口IP

然后再把 端口映射的内网地址，改到新的VPN地址上。用户的接入地址不变。

这样在一个夜晚的变更期，VPN就悄无生息的改造完成

改造前

VPN如果失陷或者被猜到账号密码，进去就可以对内网一通乱杀

改造以后

VPN就算失陷，被黑客拿到控制权，他也没办法进一步对内网进行扫描渗透，安全指数大幅度提升

学到了，，学到了，，

每天学习一点，每天进步一点

感谢分享，资料很全面。

感谢分享有助于工资和学习！

厉害厉害，学到了学到了。

感谢楼主分享，努力学习中！！！！

感谢分享有助于工资和学习！

感谢楼主分享，学习一下