为什么通过 VPN 访问内网数据比直接把服务器暴露在公网更安全？

单点网关，好审计。

- 场景 1 GitLab 有未修复的漏洞，被公网扫描到该服务进行攻击。VPN 避免了这个情况。
- 场景 2 Github 也无法保证安全，只是平台足够大修复漏洞更及时。
- 场景 3 你说的问题是存在的，但现在的商用 VPN 都有动态口令功能，就是手机上下个谷歌验证器或者类似的验证器，你只拿账号密码登不上。
- 场景 4 NAS 的系统有 0day ，甚至有被植入勒索木马的可能，VPN 避免了这个情况。

减小服务存在漏洞时的受攻击面，而不是保障密码泄露后的安全

越复杂的系统潜在漏洞越多吧，vpn 本身实现很简单，服务端只需要暴露 vpn 服务，攻击面小很多

公司和个人使用是不一样的。 出了问题公司是需要有人出来背锅的。
放公网，出了问题， 是运维部门的问题， 如果是公司人员滥用 vpn 导致公司数据泄露， 是员工的问题。

VPN 一般是密钥验证，强度非常高，比绝大多数服务自行实现的验证好

“既然 Github 能保证安全，为什么换成公司的 Gitlab 就不安全了呢”
恕我愚钝，这二者之间除了都使用了 Git 协议,还有什么共同点嘛？

一个问题想要证伪，只需要一个反例就可以:
- 把 Gitlab 暴露在公网上: Gitlab 未授权 RCE CVE-2021-22205
- 把 NAS 暴露在公网上: Synology NAS Audio Station 未授权 RCE
可见想通过这些公网的服务进入你的内网，获取密码并不是唯一途径，甚至不是最简单的途径。
那么有人会说,VPN 也会出现这样的问题呀？确实如此, 但是城墙上只开一个门，远比城墙上开满大大小小的门要好得多。

通过 vpn 进内网只是 step 1 ，然后才能进行 step 2 hack app ; step 1->2 需要时间 = 补救时间
如果直接服务暴露公网，等于直接帮黑客快进到 step 2

基本就如前几楼所说，可以减少攻击面。
配 https 就挺麻烦的，本来就是内网服务，数量一多更是如此。
另外，跟大公司没有可比性。人家是提供公开服务来盈利的，有安全部门，有冗余有备份，有漏洞还可以半夜找人来修。

你说的对，所以还有 vpn+跳板机，都是现成的产品，买就可以了

如果你家里也有像 GitHub 那么大的专门负责网络和系统安全的团队 24 小时盯着，那确实是可以保证安全的。

你不会以为 GitHub 也是像你一样把网站往服务器上一放然后就不管了吧？

"而平时访问网站是能保证安全的"

??
这个观点是怎么来的？？

因为只暴露一个服务就只需要关注一个服务的漏洞修复即可

在使用 http 提供的服务时，你的账号密码会被中间人(路由器，运营商)看光光的，所以 http 需要在可信网络下使用，可信网络一般使用 VPN 搭建(毕竟拉专线不太可能)

公司只需要开启 VPN 服务即可，而且对 VPN 账号都有审计。

我认为所有的安全，都是让人不能简单的访问，增加访问步骤。

你以为的 Github： 没有漏洞，从来没被攻击过。

实际上的 Github： 从 16 年到现在，在 hackerone 上共花了 395 万美元，一共修复了 1312 个漏洞报告，过去 3 个月中给白帽子 34 万美元奖励。来源： https://hackerone.com/github?type=team

你们公司有多少做安全的人，Github 有多少安全研究人员，Github 尚且如此。

“我理解把内网设备暴露在公网从外面访问就跟平时访问网站是差不多的，而平时访问网站是能保证安全的。”： 那你说说是什么原因使得那些网站是安全的？

你以为的 VPN ，就是个用户名密码，而且登录完之后就不用了。实际上可不是这样，而且实际上怎么样一般人也不知道，要网络专家才能回答。

针对场景 4 ，很多商用 VPN 都有二次认证，如手机验证码，USB KEY 等，不过我用开源路由实现了用户+密码+证书+手机 APP 动态码，实现了 0 费用高安全的 VPN 接入

我的理解：
VPN：入户门装锁，每个卧室不装锁
公网暴露：入户门不装锁，每个卧室装锁

1.一般企业内网业务多，VPN 用来减少互联网暴露面，统一互联网出口也更方便部署别的设备防火墙 WAF 流量清洗之类的。
2.现在 VPN 应该都在推零信任了，对连接用户的行为和权限进行实时确认，并不是你一个连接加密就完事的。

把安全问题汇聚到 VPN 这里, 而不用担心别的服务的漏洞, 当然了, 入户门加锁, 室内门也加锁那就更安全了, VPN 可以用证书加密码的方式增强安全性的, 非对称加密的安全性还是杠杠滴

@lvzw 很形象的比喻了，通俗易懂

楼主的想法很合理。谷歌就是淘汰 vpn ，访问内网不需要 vpn ，而是 zero trust model： https://cloud.google.com/beyondcorp 。

GitLab 没事就报漏洞

@lvzw #20
不是
VPN：入户门装锁，每个卧室装锁
公网暴露：入户门不装锁，每个卧室装锁

公网暴露相当于直接让别人直接来到你的卧室门前。

使用 vpn 后所有流量都通过 vpn, 无需单独在路由器配置端口转发, https 虽然安全, 但如果有人知道你的 ip 和端口, 且这个服务有网页, 直接访问那就有可能导致泄露一些隐私信息..

VPN 有全局代理和局部代理之分，不同种类 VPN 配置方法不同，可以通过策略路由指定你要访问的重要目标机器，而其他流量仍然走本地互联网

@weijancc VPN 有全局代理和局部代理之分，不同种类 VPN 配置方法不同，可以通过策略路由指定你要访问的重要目标机器，而其他流量仍然走本地互联网

7 楼的比喻的非常好

@dcsuibian 配置 https 其实不太麻烦 大部分家宽公网都没有 80 443 像我就是用 10443 来作为反向代理 根据域名不同 分发到不同的服务 https 就用阿里给的免费 1 年证书就行了 还有就是找那种支持自定义端口回源的 cdn 进行反向代理 不过这种情况增加了 成本

@eb0c6551 内网组网 我感觉好像也是 VPN

tailscale 通过自己 derp server 进行内网组网 也是一个不错的选择

@Jhma 这个我知道, 刚才回复有点急, 我重点是想说 vpn 和单独开放端口的区别

我的理解：
VPN：入户门装锁，每个卧室不装锁
公网暴露：入户门不装锁，每个卧室装锁
@qsnow6 是的，你的理解更准确

维护一堆公网可访问系统的各自安全性，成本远大于维护一个访问接入服务的安全性。

分 2 种情况：
1 ，个人：VPN 的漏洞极少，应用软件由于业务逻辑复杂，漏洞多。
2 ，企业：理由包含个人，另外理由是统一管理

这是 GPT 的回答
VPN：VPN 是一种建立安全连接的方式，可以用于远程访问内部网络。VPN 可以提供加密和身份验证等安全功能，因此在使用 VPN 时，用户可以通过一个安全的通道访问内部网络资源。VPN 通常被认为是比较安全的方式，因为它可以确保所有流量都通过安全的隧道传输，而且只有经过身份验证的用户才能访问内部网络。但是，VPN 也有其局限性，例如需要配置和管理 VPN 服务器以及客户端，并且可能需要使用额外的硬件或软件，这可能会增加管理和维护成本。

OpenVPN：OpenVPN 是一种基于 SSL/TLS 协议的 VPN 解决方案，提供了加密和身份验证等安全功能。OpenVPN 可以在不同的操作系统和设备上运行，因此是一种比较灵活和可扩展的解决方案。OpenVPN 也可以提供访问控制和身份验证等功能，从而可以保护内部网络资源的安全性。但是，OpenVPN 的安全性也取决于配置和管理，如果没有正确配置和管理，仍然会存在安全风险。

将 GitLab 暴露在公网：将 GitLab 暴露在公网上，可以让外部用户访问 GitLab 服务器，但这也会带来一些安全风险。如果没有采取适当的安全措施，GitLab 可能会受到恶意攻击，例如 SQL 注入，跨站点脚本（ XSS ）攻击和拒绝服务攻击等。因此，为了保护 GitLab 服务器的安全，必须采取适当的安全措施，例如使用访问控制和认证机制、定期更新软件和使用安全套接字层（ SSL ）等。

谈谈我的认识伤公司使用 vpn 针对的不只是 GitLab ，有可能涉及多业务系统。多角色。通过角色划分：
业务人员：包括运营、客服等他们有可能有远程查询内部业务系统的需要，这个可以提供 vpn 账号，比把一些做的比较垃圾的后台系统暴露在公网要安全。
技术人员：涉及运维、开发、测试。涉及多个系统和业务服务，不可能每个都暴露在公网。
管理销售人员：远程对一些系统查看，给客户提供展示。

内网的服务可能有很多，全部暴露的话要确保每一个都是安全的，否则有一个漏洞整个系统就可能被入侵。

使用 VPN 相当于在所有服务前加了一层十分强的保护。(正确配置的 Wireguard / OpenVPN 很难被攻破)

vpn 可以理解成守一个要塞，居高临下易守难攻

三个字：攻击面。网络安全性取决于最薄弱的一环，边界安全是第一步，之后再谈内网的安全。

只开启 VPN 的情况下，攻击面有且仅有 VPN 程序本身。
如果不使用 VPN 方案，那么攻击面有大量的应用。

一个应用出问题的概率和大量应用出问题的概率不言自明，常见的 OpenVPN 或者 WireGuard 之类的 VPN 应用在历史上也很少出现严重的漏洞，比三天两头出 RCE 的 gitlab 之类的 web 应用受攻击的概率小太多了。

sslvpn 了解一下，通过 CA 证书进行验证