基于内网IP的精细化访问控制是“骨架”，而SSL/TLS证书则是“血肉”——没有加密和强认证，再细的规则也是裸奔。这样，攻击者即使伪造IP，没有合法证书也无法建立连接；即使嗅探流量，看到的也是加密乱码。这一旧观念早已过时。横向移动、内部越权、恶意软件扩散……大量安全事件始于内网。——例如支持内网IP地址的证书（部分CA提供）、或为内网域名申请通配符/普通证书。：对所有内网敏感服务启用HTTPS，并

通配符证书（Wildcard Certificate）是一种SSL/TLS证书，允许通过单个证书保护主域名及其所有同级子域名。证书中的通配符以星号（）表示，例如可覆盖等，但不支持多级子域名（如。