老板被隔离了

作为一家中小型公司的IT部门运维负责人，张大胖最近压力巨大。

在疫情之下，公司已经有几个人作为密接被隔离了，其他员工要求居家远程办公的呼声越来越高。

张大胖也想居家远程办公，又安全又自由，但是公司的客户管理系统，OA系统都是部署在公司自己机房内，是一个内部的局域网，在家里怎么能访问呢？

不能访问，怎么远程办公呢？

很明显，最简单的办法就是搭建一套VPN系统，每个人分配一个账号，这样就解决问题了。但是VPN配置复杂又价格昂贵，对于这个小公司来说并不适合。

张大胖百无聊赖地在网上搜索，无意之间发现了一个叫做“蒲公英易连”的办公平台，无需专网、无需公网IP，无需改变现有网络结构，就可以轻松地组建一个虚拟的局域网，让员工在家里访问公司的IT系统。

这个“蒲公英”的工作方式是这样的：

第一步，运维人员（也就是自己）在蒲公英管理平台创建一个“虚拟网络”。

第二步，在虚拟网络中给每个员工创建成员账号，每个成员会分配一个ID、密码和虚拟IP地址。

（点击看大图）

第三步，每个员工下载安装蒲公英客户端。（当然，公司的服务器上也需要安装上）

除了支持Windows之外，蒲公英客户端还支持市面上几乎所有其他主流操作系统：

然后，员工就可以用之前创建好的账号和密码登录了。

现在每个机器都有了一个虚拟的IP，员工不但可以它来访问公司服务器中的OA和CRM系统，员工之间的机器也可以互通互联。

张大胖真没有想到，组建一个虚拟的局域网居然这么简单！

他兴冲冲地去找老板汇报这个喜讯，期待老板一声令下，大家都可以回家远程办公。

老板听完汇报，不置可否，只是淡淡地问了一句：安全性如何？如果员工的账户泄露了，我们的OA和CRM系统岂不相当于在网上裸奔？

张大胖头一下子蒙了，自己太冲动了，还没有考虑完善就来找老板汇报，犯了大忌啊。

张大胖连连道歉：我考虑不周，再回去研究一下，回头出个报告出来。

回到座位，张大胖仔细思考了一番：老板是不是要求太高了？！

现在即使是VPN系统，账号泄露了，内网的系统岂不也是暴露了？也是裸奔了？也是同样的问题嘛！

如果做个类比，VPN网关像一个门卫，合法用户通过了门卫的检查，进入小区，只会去他想去的1号楼。

但是对于盗用了别人身份的黑客来说，他一旦进入小区，就不止去1号楼，肯定还会去1，2，3...号楼逛逛，看看有没有值钱的东西，把它偷出来，或者埋伏一个后门啥的。

难道连一个通过账户密码登录系统的用户都不能信任了吗？这该怎么办？

张大胖呆住了。 

正在此时，去茶水间打水的CTO老何看到了发呆的张大胖，轻轻地拍了他的肩膀：大白天做什么白日梦呢？

张大胖把自己的经历和困惑给老何讲了一遍，老何哈哈大笑：“你这个问题也容易解决，用你的例子来比喻，我们首先在小区门口检查，但是即使一个人通过了门卫的检查，进入小区，他在做事情的时候，还要持续地受到检查，看看他的身份对不对，有没有权限，如果发现异常，就把他给踢出去。”

“就是说要用最小权限原则，实施精细化的权限控制？” 张大胖问道。

“孺子可教也！” 老何端着茶杯走了。

张大胖立刻去查看这个蒲公英易连的方案，发现它支持自定义设置各个成员之间的访问权限，从而实现精细化访问策略。

管理者可根据不同的岗位需求、工作时间段，针对性设置不同的网内资源访问权限。例如：普通员工仅能访问OA系统、财务能够访问对应的财务系统，研发访问git、SVN等，实现最小权限原则，高精细度的保护敏感数据的访问安全。

（点击看大图）

这不就把问题给解决了吗？

不过，这一次张大胖学乖了，一定要做个深入的调研，然后才能对老板汇报。

这一次张大胖在在创建网络时，选择了“自定义网络”：

给员工分配账号，创建网络成员时，指定员工的角色：

默认情况下，普通成员之间是无法互通的，仅能和中心成员（例如服务器）互通。

“蒲公英易连”还有非常强大的访问策略，进行精细化授权，例如可以指定某些用户只能访问某些机器，只能在某个时间端访问：

（点击看大图）

例如上图中何小痩的机器只能在周一到周五访问CRM服务器。

张大胖非常满意，有了精细化的授权，就解决了老板的要求。

除了事前的权限配置之外，“蒲公英易连”还支持事后的日志审计，谁什么时间点在什么地方登录了客户端，有没有做什么操作，都可以查看。所谓事前有感知，事后可追溯。

他继续尝试，又发现了几个非常好的功能，例如数据传输采用RSA/AES混合非对称加密算法，有点像Https的实现方案，非常安全。

还有就是设备终端验证，如果这个设备不是私人电脑这种受信任的终端，“蒲公英”将会对它进行持续验证，要求它提供动态验证码。

这就相当于小区内到处都是保安，会对小偷（非信任的终端）不停地盘查，发现异常，立刻告警。

更有用的是，它还支持第三方的数据接入，可以把企业微信、钉钉、飞书等IM的通讯录数据拿过来，实时同步，员工入职、离职、权限变更实时更新，极大提高对成员管理的便利性。

汇报之前，张大胖做了一个PPT，历数了“蒲公英易连”的几大优势：

1. 支持纯软件方案，不受硬件限制，不改变现有网络结构

2. 高效易用，使用门槛低，一键组网、一键连接

3. 低成本，高性价比，无需专线和公网IP

4. 最重要的，非常安全

这次张大胖信心满满，他正准备去汇报时，微信中老板突然疯狂地呼叫他：

张大胖，我被隔离了！远程办公的网络怎么还没弄好？！

张大胖又惊又喜，赶紧把PPT传过去：老板别急，“蒲公英易连”马上弄好，您一会儿就可以访问内网了！

若觉得文章对你有帮助，随手转发分享，也是我们继续更新的动力。