二三十台电脑的小型企业内网，如何低成本保证内网通信安全（避免主机被黑后 ARP 窃取其它主机通信数据等）（除 VPN 外没有直接暴露公网的服务）一定要上硬件防火墙吗？

装杀毒软件不就行了.例如 360 企业版啥的

不想折腾就买个二手的硬件防火墙吧

关闭远程桌面，使用强密码，上次永恒之蓝把前司几个部门电脑和服务器全加密了。早上上班眼睁睁看着电脑一堆脚本乱跑，趋势杀毒被绕过，深信服也没起作用，各种硬件防火墙起效甚微。最后网警来了也没用，花钱解决了。

网络防火墙还是病毒防火墙？
网络防火墙只是限制 A 网段访问 B 网段，或者限制 B 网段访问 A 网段。
并不能满足你的需求

今天摸鱼出来的论文不就是解决这种问题的吗？

Smb 配置加密传输，拒绝不支持加密的客户端连接就行了

https://www.cloudflare.com/plans/zero-trust-services/ 三十人三百块钱，很低成本了吧

@alex8 smb 没有验证服务端的机制，ARP 欺骗后可以中间人攻击
@ferock 病毒防火墙好像也只是防止 ARP 表后面改变，如果一开始 ARP 表就被污染好像无效
@yyzh

@0o0O0o0O0o 这个明显解决不了内网问题

@drymonfidelia 你内网环境下所有设备都有安全防护程序那哪来的攻击?反倒是如果你的内网环境是一直允许不带安全程序的设备接入的话那你还不如担心其他的安全隐患

@yyzh 显然设备上安全防护程序并不能有效阻止攻击，像 #3 说的“ 趋势杀毒被绕过，深信服也没起作用”，只能在网络上层面阻止攻击

@yyzh 另外我微信朋友圈都有卖免杀服务的，他宣传 100%过 360 、火绒、WD 、卡巴检测

#9 明显吗？我没觉得很明显。所以你的内网是完全离线的吗？

这个标题和内容，零信任就完全是为之诞生的

@0o0O0o0O0o 零信任解决的是外网访问内网的问题，我要解决内网访问内网流量被劫持的问题

没有人提 802.1X?

@drymonfidelia #14

> 零信任解决的是外网访问内网的问题

这误解大了，要是还区分内外网，零信任还谈什么零。

随便找一家零信任产品的介绍都可以知道你这理解是错的

> Zero Trust 安全是一种 IT 安全模型，要求试图访问专用网络上资源的每一个人和每一台设备（无论位于网络边界之内还是之外）都必须进行严格的身份验证

> 零信任是一种设计安全防护架构的方法，它的核心思路是：默认情况下，所有交互都是不可信的。这与传统的架构相反，后者可能会根据通信是否始于防火墙内部来判断是否可信。具体而言，零信任力求弥合依赖隐式信任模型和一次性身份验证的安全防护架构之间的缺口。

> 零信任的網路資安徹底顛覆了舊的典範，網路資安再也不是靠著細分的網段或是企業網路邊境來維護安全。信任與否，將不再根據連線或資產是否為企業或使用者所擁有來判斷。此外，也不再根據實體位置或網路位置 (也就是位於網際網路或區域網路) 來判斷。零信任的方法是以個別的資源、使用者和資產本身為主體，而不是看它們的擁有者或所在位置。每位使用者在存取企業的每項資源之前，都必須個別通過認證。其終極目標就是：對於任何網路元素，在通過認證之前，都應保持零信任的態度。

@1423 没用，但凡他那个 NAS 支持 SMB 1.0 之外的什么东西也不会只支持 SMB 1.0 ......
可能数据太多不想换 NAS 换硬盘了吧
难道要给 NAS 写个反代？

你们是开发机还是普通的办公机？

那就别用 smb ，用 webDAV ，就可以了。 不过如果被黑的主机保存了密码那也没用啊。

@huaweigg 所有办公电脑（大部分都是笔记本）全都接入了同一个内网