企业里面暴露内网服务到公网怎么做安全？

公司有很多应用在出口防火墙上面做了端口转发暴露在公网（来的时候就这样了），没有 WAF 、反代、DMZ 、NGFW ，只有 EDR 和 SEP 装在服务器上，这是前提。

然后去年中过一次勒索病毒，今年被抽中做渗透测试的蓝方，两次都暴露了很多网络安全问题；上面的 EDR 就是去年中勒索后批的，防火墙很老的 juniper ，这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了，只能问问老哥们还有啥招了？

PS：坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过，有没有人指点一下具体怎么做的？ THX

timeisweapon

17 小时 28 分钟前

你是小兵只管上报风险和建议处理方案，尽职免责。没人没钱搞毛，谁脑袋大谁背锅

gvdlmjwje

17 小时 24 分钟前

@timeisweapon 理想很丰富现实很骨感出了问题上面找部门负责人，部门负责人找我，这他妈最终还是要我来处理烂摊子的啊 - -

timeisweapon

17 小时 17 分钟前

@gvdlmjwje #3 看你的描述公司没有专门 IT 部门或者是网络工程师，考虑迁移到云上吧

hingle

17 小时 16 分钟前

企业 DMZ 跟路由器上的 DMZ 不一样，不允许主动访问内网也不能上外网。
做好网络隔离、使用低权限、容器或者虚拟机部署，避免入侵影响到其他应用。

gvdlmjwje

16 小时 56 分钟前

@hingle 那 DMZ 没用，这些应用内外网都要用。如果用 NGINX 反代可以吗，然后只暴露 NGINX 到公网？

lzy250

16 小时 45 分钟前

公网只暴露 80/443 ，nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。

Tumblr

16 小时 25 分钟前

你这是整体从根基上就难处理啊，想做好就要重新设计了，我觉得不是你能决定得了的。
建议保持现状，在业务可用的前提下尽可能在防火墙上收缩访问控制，包括但不限于端口、源地址、协议等。

wheat0r

16 小时 4 分钟前

服务器放在内部安全域，在 DMZ 域放置反向代理。
出口 NAT 只放 443 、80 ，防火墙做安全域策略，确保外部到内部不通，外部到 DMZ 的策略细到端口，DMZ 到内部的策略也要细到端口，有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。

wheat0r

16 小时 2 分钟前

@wheat0r #11 补充一下，如果存在可能的等保要求，OP 这个网络根本过不了等保，趁早找人写一个等保整改的方案去要预算

15 小时 50 分钟前

补充一下：

请认真核查你安装的应用，措施再严密，如果你装上有漏洞的应用，例如 PHP 某 CMS ，shell 都被拿了。

pljhonglu

14 小时 52 分钟前

最近搞家庭路由 ipv6 的方案：
内网服务全部反代到 80, 443 端口，对外通过 LDAP 接入，其他端口全关。
反代使用的 Traefik ，配置还挺方便的。

xcodeghost

14 小时 3 分钟前

安全是一套系统，包括各个环节都要做好，不能有薄弱的环节。不是说安装个杀毒软件、装个防火墙就万事大吉的。

letmedie

14 小时 1 分钟前

临时措施是套个社区版的雷池，至少能防住很多攻击。但是既然把业务对外暴露了，那么安全工作必须做到位，现在是信息安全大过天，直接一票否决的，出了问题网信办和网安下通知整改要领导背书的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1082624

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.