文章目录
- 什么是访问外网?
- 访问外网的风险
- 什么业务场景需要申请外连公网?
上图网络访问分为两个方向:
- Internet(外网)访问公司网络 www.taobao.com:请求经路由转发后会到公司负载均衡服务器上,负载均衡服务器会对请求做如验签、限流等控制,一般不会有安全风险。
- 公司局域网访问Internet(外网)www.baidu.com:公司局域网访问Internet(外网)www.baidu.com时,同样会经路由转发,若路由器中设置了ACL(访问控制列表),则无法访问,否则可以进行访问。这里ACL可针对公司局域网内不同网段的请求进行分别配置,比如生产网安全级别高不能访问外网,而办公网可以访问外网(如阿里内部的七网隔离)。这样不仅能提高网络安全性,而且易于管理。
简单介绍一下ACL,ACL(访问控制列表)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。下面介绍一下什么是访问外网、访问外网的风险,以及什么场景下需要申请外连公网。
什么是访问外网?
访问外网是指公司内部部署的应用服务器主动外连公网,比如上图中生产网的一台服务器访问www.baidu.com。
访问外网的风险
公司内部应用服务器若具备主动外连公网的能力存在以下风险:
- 攻击者可从公网下载恶意后门、挖矿木马等,然后进行对公司内部服务器进行入侵
- 攻击者能获取公司内部数据,从而造成数据泄露
- 方便攻击者利用XXE、SSRF等漏洞
什么业务场景需要申请外连公网?
-
对接外部开放平台,需要使用 open api 等需求。如访问支付宝开放平台等
-
爬虫需求。
此前蚂蚁出现过安全事件,蚂蚁某内部应用具备巡检功能,会去访问用户提供的域名(用户提供的域名是不确定的,比如国务院政府网站等),该应用访问了大量国务院政府网站,因蚂蚁生产网各应用共用外网出口ip,导致所有蚂蚁出口ip补充政府网站封禁,影响蚂蚁大量核心业务运行,产生了很大的影响。
-
…
所以说,应用基线默认应用是不允许访问外网的(可尝试在服务器ping命令,如 ping www.baidu.com来验证),针对于以上业务场景,若需要开通外网访问,可进行安全评估后由运维放开访问外网的限制即可。
欢迎如转载,请注明出处!欢迎关注微信公众号:方辰的博客