如何构建安全可靠的开发平台--写给灵活就业的码农

构建安全可靠的软件研发、测试、管理平台，作为一个从业二十几年的码农几乎是耗尽半生的时间在跟IT打交道，在跟代码打交道。作为软件开发者，我们需要不断的吸取新知识，又要不断的积累自己的工作经验，同时还要不断的维护我们的代码，特别是那些灵活就业的码农，居家需要一套安全可靠的IT架构，即防止黑客的攻击，也防止保贵资料的泄露。写点关于开发平台的防护和建设方面的建议给小伙伴参考一下。这套建议方案不仅适用于居家办公，也适用于小微企业的开发架构建设。

大企业搭建这样一套开发管理系统至少需要百万之巨，现在跟着我使用开源软件，搭建起这套极具价值的软件开发平台。

一：安全等级设定：

这里我通常会将网络安全分成三个等级：

等级一：PAZ区域，就是一个严格禁止接入以太网的区域，主要设置为需要认证的内网访问。这里主要放代码服务器（GitLab)，软件测试平台（比如jira)，OA系统，备份服务器（Backup)

等级二：LAN区域，可以允许电脑上网，单向的Lan to Wan，禁止Wan to Lan的任何商品。这一区域我们主要放置我们工作的PC机，笔记本电脑，测试服务器（大部分使用VM），文件服务器（日常文件交换），保垒机等设备。

等级三：DMZ区域，外网可访问区域，Wan to DMZ，根据应用特点开放必要的端口。这一区域主要放置自已的WEB，自己的微博，微电商服务器，开源软件镜像服务器（主要用于开源软件镜像站）。

二：网络架构设置

见下图：

 

1、PAZ to LAN，这两个区域设置VLan，PAZ禁止进入以及网，LAN to PAZ则可以绑定MAC进行认证。

2、LAN to Wan，这两个区域开放Lan to Wan，禁止Wan to Lan，也就是这个区域允许内网用户上网，但不允许外网发起各种连接。

3、Wan to DMZ，这两个区域开放DMZ to Wan，而Wan to DMZ则开放有限的端口，比如443、80、110等。

4、远程访问，开通VPN系统可以直接访问到LAN里面的机器。

5、建设保垒机系统，通过堡垒机访问PAZ的服务器和DMZ的服务器，同时打开保垒机的审计功能，记录所有操作录屏信息。

6、保垒机安装智能插座，平时不用时可以关掉保垒机的电源，使用时才可以远程打开保垒机电源进行操作。这样即省电又安全。

三：涉及到的软件及配置

1、防火墙，这里我们主要介绍 pfsense。

2、保垒机，这里我们主要介绍 JumpServer

3、代码服务器，这里我们主要介绍 Gitlab

4、测试服务器，这里我们主要介绍 MeterSphere

5、网站，微博，电商软件等，这里我们主要介绍Halo

6、开源软件镜像站，这里我们主要介绍tunasync

7、文件服务器，这里我们主要介绍 netxcloud

8、虚拟机，这里我们主要介绍centos vm

9、备份系统，这里我们主要介绍Backuppc

10、VPN系统，这里我们主要介绍 OpenVPN

四：硬件系统的选型与生产

假如你有再出售的想法，请根据开源软件的授权范围，正确使用开源软件有关商业化授权的要求。这里介绍硬件系统成品设备的生产。

1、软路由迷你机的选择

2、三层交换机的选择

3、超静音服务器的选择

4、万兆桌面系统的搭建

该课程为收费课程，将详细介绍以上各种软件的安装、配置方案，并给出实战案例，当然有兴趣的小伙伴们也可以根据我上面提到的软件名称，自行研究使用。有需要报名的小伙伴请关注我的博客。