公司总部在广州,分部在成都和杭州,员工出差到上海临时办公。看着地图上的几个点,问题就来了:成都的财务要访问广州的报销系统,杭州的研发要调用总部的代码仓库,这些跨地域的操作怎么管?放开了怕数据泄露,收太紧又影响效率。
不是所有“通”都该通
很多企业一开始图省事,直接把各个分支的外网IP打通,搞个大内网。结果某个分部中了勒索病毒,半天工夫传染到全国。真正的做法是按需开通,比如财务系统只允许成都的特定IP段访问,其他一律拒绝。就像小区门禁,不是每个住户都能进别人家。
常见实现方式对比
现在主流有三种路子:IPSec VPN、SSL VPN 和零信任架构。IPSec 稳定但配置复杂,适合固定线路;SSL 常见于远程接入,对终端友好;零信任最近火,强调持续验证,适合混合办公场景。选择哪种,得看你们有没有专职运维、终端能不能装客户端、以及能接受多大延迟。
以 IPSec 为例的实际配置片段
假设用华为USG防火墙,在广州总部做中心节点:
ipsec policy-center HQ-policy\n phase1-mode main\n ike-proposal AES256-SHA\n pre-shared-key %^%#MySecretKey%^%#\n remote-address 203.0.113.10 // 成都公网IP\n local-address 198.51.100.1\n vpn-instance vpn-intranet\n在成都侧对应配置:
ipsec policy-branch CD-policy\n phase1-mode main\n ike-proposal AES256-SHA\n pre-shared-key %^%#MySecretKey%^%#\n remote-address 198.51.100.1 // 广州公网IP\n local-address 203.0.113.10\n vpn-instance vpn-intranet\n别忘了ACL精细过滤
光通还不行,得控制能干什么。比如杭州分部只能访问广州的GitLab(TCP 80/443),不能碰数据库(TCP 3306)。ACL规则要写清楚方向和端口:
acl number 3001\n rule 5 permit tcp source 203.0.113.0 0.0.0.255 destination 10.1.1.100 0 destination-port eq 443\n rule 10 deny ip source 203.0.113.0 0.0.0.255 destination 10.1.1.0 0.0.0.255\n监控日志比设规则更重要
有个客户曾经设好了所有策略,半年没出事。结果某天发现成都的IP半夜频繁连接总部的文件服务器。查下来是某个员工私自搭了FTP同步工具。定期看日志、设置异常流量告警,比堆砌规则更有效。现在的防火墙基本都支持邮件或短信推送告警,打开这个功能花不了十分钟。
分支机构互访不是“通”或“不通”的选择题,而是“怎么控”的操作题。设备只是工具,关键还是想清楚:谁、在什么时候、能访问什么。规则宁可开始严一点,后面根据实际反馈再开,也比出了事再补强。