为什么需要限制局域网的外网访问
在家办公时,你可能通过路由器搭建了一个小型局域网,手机、电脑、平板都在同一个网络下。这时候,如果有人利用公网IP直接访问你的电脑共享文件夹,或者摄像头被远程调用,安全隐患就来了。尤其在远程协作频繁的今天,团队成员通过外网接入内部系统是常态,但不是所有人都该拥有“随便进”的权限。
比如,小李公司的项目组使用NAS存放资料,原本只想让同事通过特定端口访问,结果发现外网扫描工具能直接搜到设备,差点导致数据泄露。问题出在哪?就是没做好外网访问的限制。
关闭不必要的端口映射
很多人为了远程桌面方便,直接在路由器上做了3389端口的映射,把内网电脑完全暴露在公网上。这等于给陌生人留了扇后门。正确的做法是只在需要时临时开启,并搭配强密码和双因素认证。
更稳妥的方式是改用非标准端口映射,比如把远程桌面服务从3389改成53389,虽然不能彻底防攻击,但能避开大部分自动化扫描。
启用防火墙规则过滤来源IP
如果你的团队固定从几个城市接入,比如北京、上海、深圳,可以在防火墙上设置只允许这些地区的IP段访问关键服务。Linux服务器可以用iptables实现:
<!-- 允许特定IP访问SSH -->
[root@server]# iptables -A INPUT -p tcp -s 203.0.113.45 --dport 22 -j ACCEPT
[root@server]# iptables -A INPUT -p tcp --dport 22 -j DROP这样即使密码泄露,攻击者没有对应IP也连不上。当然,动态IP用户可以结合DDNS和脚本动态更新规则。
使用VPN替代直接暴露服务
与其把每个应用都往外网开接口,不如统一走VPN。比如部署OpenVPN或WireGuard,所有成员先连入虚拟局域网,再访问内部资源。这样一来,外人看不到你的NAS、数据库、协同编辑服务,哪怕知道IP也无从下手。
某设计工作室就用了这个方案,外地员工通过手机连上公司VPN,就能像在办公室一样访问本地文件服务器,而外部扫描完全探测不到任何开放端口。
合理配置路由器的DMZ和UPnP
很多家庭路由器默认开启UPnP,设备自己申请端口转发。这在多人协作环境中很危险,可能某个协作软件悄悄打开了高危端口。建议手动关闭UPnP,在需要时由管理员手动配置转发规则。
DMZ主机功能更要慎用,一旦开启,这台设备几乎完全暴露在公网中,除非特殊测试需求,否则别开。
借助云服务做反向代理
有些场景必须对外提供服务,比如团队使用的在线文档系统。可以直接部署在云服务器上,内网只负责同步数据,不对外暴露。或者用反向代理方式,比如Nginx + 内网穿透工具,让请求先经过公网代理验证,再转发到局域网服务。
<!-- Nginx反向代理配置示例 -->
server {
listen 443 ssl;
server_name docs.team-example.com;
location / {
proxy_pass http://192.168.1.100:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}这种方式既满足了远程访问需求,又避免了内网结构外泄。
定期检查日志和连接状态
路由器、防火墙、服务器上的访问日志不是摆设。每天花一分钟看看有没有异常登录尝试,比如大量失败的SSH记录,或者陌生IP频繁连接数据库端口。及时发现,及时封禁。
有家公司就是在日志里发现某个IP连续扫描多个端口,顺藤摸瓜发现是竞争对手在试探系统弱点,立刻加强了防护策略。