随着互联网的发展，安全的重要性已经逐渐引起了大家的注视。安全包括很多方面：代码安全、系统安全、硬件安全、安全意识等等。笔者最近在加强企业内部安全过程中，尝试了青云的vpn服务组建了一个企业安全内网，效果还不错，和大家分享下。

首先说一下我们的应用场景。我们是一个小团队，上网方式都是使用动态拨号的方式，办公室出口的ip地址都是动态在发生变化的。外网的web服务等服务器都是采用的云主机。我们还有几位同事是在家办公。从我们的系统来讲，可以分为对外公开的服务（网站）和企业内部系统（比如我们的禅道项目管理，然之协同等）。网站还有各自的管理后台。

存在的问题。我们的内部网络系统和企业管理后台都是直接暴露在公网上面的，部分同事的密码存在弱口令。再加上我们以开源的方式来发布我们的禅道，蝉知等几款软件，所以企业的信息在外面暴露的比较多。在专业的黑客面前风险比较高。

首先：业务分离。按照业务线把系统分开，避免一个节点出现问题，关联的会引起其他的节点出现问题。各个业务机器之间彼此是隔绝访问的。

再次：强制口令。强制大家使用keepass这样的密码管理工具，做到每个系统的口令都是随机口令，并且不同。

第三：最小授权。细致的梳理了各个系统的管理员帐号，如无必要，不予分配管理权限。做到最少的管理帐号。

第四：避免默认。系统默认的很多设置都比较危险，比如ssh的端口号等等。通过修改ssh默认的端口号，禁止密码登录，强制使用私钥登录等方式，都会安全很多。

第五：单一入口。我们使用青云的vpn服务组建了一个企业安全内网，每个人通过vpn客户端可以登录到一台只有内网访问的机器，然后再通过这台机器访问其他的系统。

第六：邪恶输入。凡是用户的输入都是邪恶的，在代码层面加强对用户输入的过滤。同时在服务器端通过一些配置增强对用户上传文件，数据的检查。

第七：缄默法则。尽可能的屏蔽可以暴露系统特征的信息，比如apache的header信息，php的信息等等。

安全问题无止境，欢迎大家一起探讨。