希望你对这个问题的耐心等待, 还在学习很多东西。
我的出租车预定启动有一个网站(CakePHP)在EC2上托pipe(可靠性),这是一种只有内部员工使用的ERP。 这个工具还与Cabs / Taxis的GPS接收器相互作用,因为这些GPS机器通过一些API来帮助确定预定过程的逻辑,从而将一些数据发送到公共服务器。 由于我们的networking没有很强大的networking,所以我们把这一切都放在了EC2上。
现在,我们越来越担心这样的信息(客户数据,车辆信息)在公共领域,可以从互联网和外部的stream氓员工访问。 对于我们的实现,MySQL复制已经被我们从本地从机读取,写入主机等考虑过了。唯一的问题是,非技术人员不知道数据是新的还是复制是否被破坏。 另外,我们更喜欢我们的在线服务器,因为我们不想投资于这个硬件的物理安全。
我们正在考虑以下几点:
基于IP地址的身份validation; 那些属于本地NAT的将被允许。 问题是我们有一个dynamic的IP。
基于计算机名/ MacID的身份validation; 一旦用户发现,几乎不安全。 另外,我们可以从Chrome读取这些参数吗?
存储login的IP地址列表,只有6名员工,我们可以监视它的奇怪的IP地址。 不可扩展,甚至不安全。
承载员工PC上的文件configuration,这个“主机”将在apache2上configuration,所以直接打IP地址不会有任何好处。 再次,需要一个聪明的员工。
基于SSH的路由到主服务器只能从主服务器上的本地主机访问..但无法configuration此。
帮助我们!
正如有人指出,使用VPN服务和基于IP地址的身份validation可以帮助。
这是我该怎么做的。 我会得到两个networking接口,说eth0和eth1(或创build一个虚拟接口eth0:1)。 eth0将具有公共IP,而eth1将具有来自VPN的IP。 现在,您可以configurationiptables或其他任何使用eth1的防火墙,但是除了api之外,eth0应该阻塞所有的端口。