二三十台电脑的小型企业内网，如何低成本保证内网通信安全（避免主机被黑后 ARP 窃取其它主机通信数据等）（除 VPN 外没有直接暴露公网的服务）一定要上硬件防火墙吗？

@serafin NAS 有权限控制

交换机一个端口一个 VLAN, VLAN 之间禁止通信, VLAN 只能跟 NAS 通信(可以交换机 ACL, 也可以用防火墙);
主机接入采取静态接入, 交换机禁止学习 MAC, 一个物理端口只绑定一台设备;
交换机 Console 口在配置完登录账号和密码后, 拆机剪断 Console 口跟主板的连线;
交换机配置采用专用 IP 和主机, 配置用主机锁你家领导的保险箱里面;
配置专用主机全盘加密, BIOS 加密, 开机需要使用密钥 U 盘, U 盘给你所在公司的老板;
不用的交换机物理端口全用钳子剪断然后内部接高压电, 谁接谁电脑网卡报废.
(VLAN 间访问和配置交换机也可以使用下面的防火墙/nas 的操作)

至于 NAS 使用, 需要什么文件或者上传什么文件先申请, 需要什么文件, 需要多长时间, 小组组长签字, 部门领导签字, 由专人专机开访问权限, 其余时间和其他 IP 防火墙一律 deny, 申请单当天有效;
防火墙必须去机房使用堡垒机插显示器键盘使用, 后面跟俩摄像头, 进入机房禁止携带纸币以及任何电子产品(防火墙/NAS 申请单可以带, 不能带笔), 再过一个安检门;
现场负责人必须全程在场监视操作;
操作防火墙的指令提交之后, 需要使用机房内的录音电话联系防火墙审计人员进行报告, 需要在电话内朗读相关内容, 防火墙审计人员进行复读, 确认无误后确认执行.
摄像头拍摄内容每周复查, 电话录音每周复勘. 出现违规情况, 第一次公司通报, 第二次开除.

(干活 2 分钟, 流程 7 小时)

大都是员工是用 wifi 上网的吧，带网管的 ap 可以开启客户端隔离，wifi 设备之间不能通信，只能和接入点通信，可以防止 wifi 设备的 arp 欺骗

这个需求上防火墙没啥用的吧，内网的几十台电脑大概率就是在同一个二层交换机下面，电脑和电脑之间的通讯不经过路由器，只会到交换机，更别说防火墙了。

这样的话，就在交换机上配 mac 和 ip 绑定，配 ACL 限制主机 IP 账户访问。

如果说有对外开放端口，你这里是 vpn ，如果你能确保你的 vpn 配置安全，那我觉得防火墙作用有限。从外部的攻击需要经过 vpn 隧道，防火墙没法识别 vpn 隧道内的访问流量，防火墙识别不到流量基本就废了。这里防火墙唯一的作用就是，客户端在向外部发起请求时，可以识别到，比如挖矿，连接了恶意 IP 后门，就可以根据这个能识别出来哪台客户端有问题。

@yinmin 不一定要 WiFi ，用网管交换机有线一样可以隔离。

我没记错的话 SMB 是有加密选项的
群晖里就有设置选项

SMB 如果用域管理的话，域内证书由域控制器颁发，保证不被劫持，因为认证是由域控制器完成的。（虽然有用密码缓存攻击这种操作，好多年前看到的了，不知道现在是否有效）
配合上杀毒软件和一些全线策略，也差不多了吧。

ZeroTrust 有点跑题，而且比较慢 =-=

@sunnysab #27 没觉得跑题，你仔细说说。至于慢，有那种自己部署的产品，但我不了解。但这里讨论的是这个需求到底可不可以用零信任这个筐来装，所以性能其实不是这里的问题。其实楼上提到的很多思路不正是零信任的雏形么

想要绝对的安全是不可能的，安全是一整个体系，永远有替代方案，也永远不要指望一个硬件/软件/防护措施就能解决一切问题。
说回你这个需求，你们的核心资产是 NAS 里面的机密数据，相比起来你担心的这个具体风险只是众多风险的其中之一，甚至脆弱性我感觉都不是很高...建议是从对外出口侧部署一个比较便宜的防火墙（你这个流量对应的防火墙价格真的非常低），终端层面找一个免费的杀毒软件下发下去。最好所有电脑入域统一管控，同时对 NAS 以等保标准做定期的基线扫描，做好备份。
另外不知道你们要保护的核心资产是什么格式的，如果是文档图纸等文件类的话，比较建议买个终端层面的加解密软件，这样即使文件泄露或外发也无法解开，其他的管控措施就可以相对轻松一点了。

弄个蜜罐吧 最起码真有这种 ARP 或者其他的扫描行为的时候能及时发现

买腾讯 iOA

交换机支持二层隔离，可以防止 arp 攻击。

@0o0O0o0O0o 好吧，零信任产品也可以。

我的理解是：OP 可能有一个 NAS 和若干 PC ，通过网络上（软硬件）的一些设置可以使 PC 间不互通，现在要保证 PC 到 NAS 间的安全性，那么通过 SMB 本身的加密解决更方便。引入零信任产品，是不是需要多一台服务器对流量做中转？感觉上类似于内网挂了个 VPN ，没有必要。要说可以也确实可以...

1. arp 攻击检测由很成熟的方案了，硬件软件都有
2. 被黑之后光想着那点数据已经没用了，厉害的红队直接找域或者通过工作组横向直接把你几十台机器控了，什么加密通信都没用

人家都进了内网了还想着搞 arp 攻击吗，有点本末倒置，直接通过漏洞攻击你们的服务器或者 pc ，下发木马

有条件可以上 IPSG （需要网管交换机+电脑都是 DHCP 分配的地址）防止 IP 欺骗，安全性要求高的，可以把端口隔离也打开，没条件就在 NAS 部署个 VPN 服务，内网电脑通过 VPN 通道跟 SMB 访问，SMB3 也支持加密特性（不过新技术，支持的设备不会很多）

@BadFox 赞同零信任的方案，使用零信任架构后，就没有内网的概念了，所有设备在一个虚拟网络中，并且所有的流量都是加密的。
我用的零信任架构有本地发现和点对点连接，内网外网访问，和直接用局域网 IP 访问没有什么能感觉到的速度差异。

上 360 企业安全云，saas 化的团队版无广告卫士，支持管理员纳管。基础防护免费，增值服务丰俭由人。你的场景很合适

标准的终端安全场景，花钱买对应的软件或者服务产品就完事了，我在上家公司推过这个事情，成本其实也不是特别高，常规产品差不多几百块一个终端，如果是买断制的产品还要再花点钱买个后台控制端和对应的硬件。

功能上不用考虑太多，大家的功能都差不多，你有 ABC ，我有 BCD ，实际上真正有用的 BC 大家都一样，剩下的 A 或者 D 是厂家挣钱的部分，看需求吧~

其实真正的风险还是在于人，当时上终端安全项目主要的目的还是在于规范人的行为，后来没搞成~
人的风险我这里提一下，当时和终端安全一起提的项目还有打印监控，我上家单位因为业务性质问题，每个月打印量少的几千，多的大几万。这里面风险非常高，经常在打印机边上看到一些不该看到的东西，所以当时也提了打印监控。后来也没搞成~

开启交换机端口隔离，开启 MAC 绑定