您迫切需要防火墙！

对不起，我们所有的 PROD/QA/DEMO/DEV/QA-DB/DEV-DB 机器都有公共 IP，所以我们可以 ssh 进入它们。有许多开放的端口，因此我们可以通过公共 ip 连接到它们并做我们所有的事情让我的皮肤爬行。

成为一家小型初创公司不是借口——互联网通常是充满敌意的，任何没有得到充分保护的东西都会被黑客入侵——今天、明天，或者如果幸运的话，也许只有下周。您很有可能已经被黑客入侵并且尚未注意到它。

使用防火墙，您可以确保

1. 只有需要公开的服务才对公共 Internet 可见
2. 您在内部需要的服务只能从特定的公共 IP 地址看到，并且所有数据/身份验证都经过严格加密
3. 或者，最好是 2.，您使用 VPN 连接来保护所有入站的内部流量 - 一旦您设置了 VPN，您就可以透明地使用远程内部服务，而不必担心安全和加密

设置防火墙后，您还可以查看正在进行的黑客攻击数量。对于新手来说，这可能是相当吓人的。

您不一定需要硬件。如果你能以这种方式配置网络，你就可以使用一台云机器来保护其他机器——周围有很多不错的软件防火墙和 VPN 解决方案，甚至是免费/开源的。但是，这里的产品推荐显然是题外话。

如果您不知道如何设置防火墙，请寻求专业帮助 - 这不是您可以半途而废的事情。虽然我们可以在此处帮助您解决特定问题，但我们无法为您设计整个安全性。

通过部署任何有状态的防火墙（例如 Cisco ASA、firepower、fortigate、paloalto、juniper、checkpoint sonic wall）来完成它的最佳方法是市场上用于配置 IPsec VPN 站点的防火墙 - 站点需要在 Google 云和您的站点之间构建为您的数据提供更安全的连接机密性、完整性、身份验证。

哈希算法提供完整性 机密提供各种加密方法 DES（数字加密标准） 3（DES）数字加密标准 AES（高级加密标准）

身份验证由“预共享密钥”提供

以上所有边界都应在 Google 云和我们的站点 vpn 隧道创建配置中匹配

通过这个 vpn 隧道，您的办公站点用户可以使用私有 ips 访问托管在 Google 云上的资源，并且这种流量是高度安全的..