前言

公司正在为项目进行三级等保测评整改,其中应用系统中出现身份验证,由于系统本身只存在账号密码形式,因此需要进行整改,整改意见:“应用系统身份鉴别D项双因素认证,虽然应用系统主要是对内使用,但安全角度上针对这个问题主要是看应用系统是否能通过互联网进行访问,如果系统仅能通过内网访问就不算高风险问题,但目前来看应用系统都能通过互联网进行访问,根据网络安全等级保护高风险判定指引,这就是个高风险问题了,必须要进行整改或降危,整改措施:账号密码+谷歌安全码或Ukey(符合);账号密码+短信验证码(部分符合);多次使用同一种鉴别方式,且每次鉴别信息不相同,如应用系统登录时使用两次口令认证,且两次口令不相同;应用系统不对互联网开放,仅允许内网进行访问;对应用系统采用登录地址限制或绑定设备的方式,减轻用户身份被滥用的威胁程度”。

方式选择

由于尽可能不对代码进行调整,因此,才用对应用系统采用登录地址限制或绑定设备的方式,减轻用户身份被滥用的威胁程度的方式进行进行建议整改。

确认负载均衡实例

通过域名解析,查看项目功能所在服务器,确认对应的负载均衡实例;

设置访问控制

负载均衡限制访问范围(阿里云)_内网

⚠️注意选择资源组!!!【这里使用的是前同事配置好的测试环境资源组】

实例管理设置

负载均衡限制访问范围(阿里云)_内网_02

点击进入实例,选择监听,选择监听端口443(结合项目本身协议)选择设置访问控制。

负载均衡限制访问范围(阿里云)_IP_03

完成设置,实现拦截

⚠️注意:

  1. IP设置,需要设置为公网出口IP,若是使用Wi-Fi等局域网,可以通过 IP地址查询 - 在线工具 (tool.lu)查询外网IP地址;
  2. 资源组选择,确认资源组中只有需要拦截的内容(不是很清楚内容......)