任何的访问都是存在风险的,vpn登录之后机器相当于内网的终端了风险差不多等同于内网终端能造成的风险,至于是否需要waf,权衡网站的重要性,内网的安全风险,还有资金。
收起可以假设,如果某个员工的VPN密码泄露了,那么恶意用户就可以直接看到内网网页资源了,这时候有没有安全风险?如果有,这个安全风险是不是waf能解决的(比如能看到内部邮箱)?
PS:VPN的双因子认证还是很有必要的
收起如果简单的看标题,我认为是安全的。但是要从纵深防御模型来看的话,就要确认一下:
1.你们公司互联网安全如何做的?
2.内部是否有网络监听措施?
3.访问行为是否被监控?
4.系统安全是否做了?
等等。
只要按照纵深防御模型来拆开,单独分析,才能得出是否有风险。