如何处理需要IP白名单的远程办公室和客户端？

Question

这里的.NET开发人员，离开了我的舒适区域。

我的软件公司走得很远，员工可以在家工作，星巴克，雷格斯办公室，西班牙，任何地方。我们的一个客户需要IP白名单来访问他们的服务器，所以我想知道我们如何才能避免每天给他们发送新的IP到白名单。

我们并不是想向我们的客户宣传这一业务移动，所以理想情况下，我想要找到一个解决方案，需要我们的客户很少或根本不努力。

这里有谁遇到过类似的情况，你是如何解决这一困境的？

谢谢。

Answer 1

我不确定这是否真的是一个关于一般网络的信息安全问题，还是更多的问题；但下面是这样说的：

如果您有许多动态IP连接到需要白名单的客户端，这将导致必须不断地对客户端进行ping以更新ACL以允许IP在更改时发生变化。虽然在现代住宅连接上，这种情况很少发生，但这足以造成破坏。

大多数公司处理这一问题的方法是要么建立堡垒主机，要么建立VPN。

基站主机

堡垒主机是由授权用户连接到的安全、可靠的服务器。它的作用是允许这些用户远程进入它，然后从它“弹跳”到其他安全的服务器。当然，堡垒主机将有一个静态IP (例如，它可以是一个云服务器)。

现在，这对于SSH、远程桌面或类似的连接非常有用，但是当需要更健壮的网络连接时，VPN通常是正确的解决方案。

完全或拆分隧道VPN

完全隧道VPN是一种VPN连接，它使来自VPN客户端的所有通信量都通过VPN。因此，所有远程主机/网站都会看到来自VPN集中器IP的流量，而不是最终用户的流量。

您可以在您的站点上建立一个完整的隧道VPN，并让用户连接到它。然后，它们可以正常地连接到客户端的服务器。客户端的服务器只能白名单您的VPN的公共IP地址，因此，任何连接到全隧道VPN的用户将被白名单，并能够建立连接。

该系统的缺点在于它可能会导致终端用户端的连接速度慢，并且会减慢VPN集中器的internet连接速度。您还可以将VPN配置为“分割隧道”，并仅在其上发送某些通信量。在这种情况下，您可以指定客户端服务器IP地址或范围的流量通过VPN，而其他一般internet流量则通过正常的internet连接而不遍历VPN。这将节省VPN端的带宽，并为连接到VPN的用户带来更快的互联网连接。