二三十台电脑的小型企业内网，如何低成本保证内网通信安全（避免主机被黑后 ARP 窃取其它主机通信数据等）（除 VPN 外没有直接暴露公网的服务）一定要上硬件防火墙吗？

@sunnysab 领导用的是 macOS ，好像加不了域，也能用域控认证么？

@sunnysab #33 我觉得可以去掉 OP 问题里的一部分无效信息，如 ARP 如 SMB 。我是这么看待的：这是个小公司，不会有安全专家，预算也低，所以建议买产品，而不是让 OP 招个人或者依赖于自身水平去配置

内网挂载 SMB ，并且用 caddy WEBDAV 协议，转换为开放 HTTPS 服务

防火墙对内部防御效果不大

@sunnysab 目前内网是互通的，领导最近看到了角川全内网被黑的新闻，让我们升级一下内网安全。这两天研究了一下方案，好像内网 PC 确实完全没有互通的必要，除了开发部门要访问测试服务器外其它部门都只会访问 NAS 和 NAS 上挂的打印机。目前在研究隔离方案，打算完全禁止 PC 间互访，应该能有效避免被横向。
@null2error
@proxytoworld

我们以前是严格限制每一台新电脑的 MAC ，但是最常见的内网入侵，是领导的 PC 被木马远程控制。

这其实挺难的，NAS 分不清是领导访问还是木马访问。

@0o0O0o0O0o 买产品确实是一个可行方案，不过我们内网结构看起来很简单，不知道加一个零信任会不会把问题搞复杂了

@drymonfidelia 技术关键词：安全域隔离，路由控制策略，交换机 VLAN 隔离/ACL 策略

一定要上高级的硬件防火墙，不然都是没保障的。 还要买额外的安保服务。这个钱不能省，毕竟网络安全是国家安全的重要组成部分，没有网络安全就没有国家安全

@drymonfidelia 内网阻止横向需要非常完备的 acl+告警，隔离各个网段，确保开发的 pc 和服务器别互通最好

外网防火墙，内网三层交换做 acl 策略。

如果只是防内网其他主机的话其实挺简单，交换机开 ACL ，端口绑客户端 Mac 。问题是这些用 SMB 客户端的安全怎么保证，物理安全怎么保证。

emmm 仅仅防 arp 攻击的话，买个好一点的管理交换机把 arp 防护打开就好了。

https://support.huawei.com/enterprise/zh/doc/EDOC1100033978/780a867f#dc_cfg_ARP_SEC_0020


用硬件防火墙是不是有点杀鸡用牛刀。

@kome
“ 交换机 Console 口在配置完登录账号和密码后, 拆机剪断 Console 口跟主板的连线;”

哥们有点狠啊哈哈

NAS 开个 wireguard ，每个机器装 wireguard 只允许 wireguard 访问 SMB

@sunnysab @drymonfidelia

>>https://www.cloudflare.com/plans/zero-trust-services/ 三十人三百块钱，很低成本了吧


他意思就是 nas 和客户机之间应当使用防火墙隔离开，NAS 作为安全区，通过防火墙的零信任（其实就一带权限管理的 VPN ，讲的高大上）来同一认证区分权限，实现客户机和 NAS 之间的通讯是使用加密方式。
专业的零信任还有审计功能，谁访问了什么。

这样做合理，只是扔个 cf 的零信任感觉就有点跑题哈哈。

我来扔一个 wg-easy ？在 nas 里部署即可.
然后 nas 的 iptables input 只允许 VPN 端口访问，其余端口一律拒绝。
也可以设置一个白名单 list 。

wg0 接口的 vpn 地址，在 forward 里配拒绝。
https://www.lautenbacher.io/en/lamp-en/wireguard-prohibit-communication-between-clients-client-isolation/


我是很想找一个基于 wg 的零信任方案，带一点界面配置和管理看板啥的。给不动网络的用，感觉好像还是得用防火墙系统才能很好的解决。不然 iptables 厚厚的一本，不熟悉这个的人肯定搞不定。

对抗加密勒索的办法就是冷备份

看你这个低成本保证安全怎么理解了。
常规理解：满足最低要求的前提下保障。
田园理解：找个开源/免费的方案，最大限度的保障安全。

外网 ros+路由+策略
内网 ros+mac 地址绑定+策略

前提是正版，因为要一直更新安全补丁，ros 是被全世界攻击最多的路由系统。

防止泄漏只要有外网就无解，保密口头禅：上网不涉密，涉密不上网。只要内网机有联网，被黑后就无法保证数据安全