企业里面暴露内网服务到公网怎么做安全？

公司有很多应用在出口防火墙上面做了端口转发暴露在公网（来的时候就这样了），没有 WAF 、反代、DMZ 、NGFW ，只有 EDR 和 SEP 装在服务器上，这是前提。

然后去年中过一次勒索病毒，今年被抽中做渗透测试的蓝方，两次都暴露了很多网络安全问题；上面的 EDR 就是去年中勒索后批的，防火墙很老的 juniper ，这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了，只能问问老哥们还有啥招了？

PS：坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过，有没有人指点一下具体怎么做的？ THX

timeisweapon

21 小时 20 分钟前

你是小兵只管上报风险和建议处理方案，尽职免责。没人没钱搞毛，谁脑袋大谁背锅

gvdlmjwje

21 小时 16 分钟前

@timeisweapon 理想很丰富现实很骨感出了问题上面找部门负责人，部门负责人找我，这他妈最终还是要我来处理烂摊子的啊 - -

timeisweapon

21 小时 9 分钟前

@gvdlmjwje #3 看你的描述公司没有专门 IT 部门或者是网络工程师，考虑迁移到云上吧

hingle

21 小时 8 分钟前

企业 DMZ 跟路由器上的 DMZ 不一样，不允许主动访问内网也不能上外网。
做好网络隔离、使用低权限、容器或者虚拟机部署，避免入侵影响到其他应用。

gvdlmjwje

20 小时 48 分钟前

@hingle 那 DMZ 没用，这些应用内外网都要用。如果用 NGINX 反代可以吗，然后只暴露 NGINX 到公网？

lzy250

20 小时 37 分钟前

公网只暴露 80/443 ，nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。

Tumblr

20 小时 17 分钟前

你这是整体从根基上就难处理啊，想做好就要重新设计了，我觉得不是你能决定得了的。
建议保持现状，在业务可用的前提下尽可能在防火墙上收缩访问控制，包括但不限于端口、源地址、协议等。

wheat0r

19 小时 56 分钟前

服务器放在内部安全域，在 DMZ 域放置反向代理。
出口 NAT 只放 443 、80 ，防火墙做安全域策略，确保外部到内部不通，外部到 DMZ 的策略细到端口，DMZ 到内部的策略也要细到端口，有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。

wheat0r

19 小时 54 分钟前

@wheat0r #11 补充一下，如果存在可能的等保要求，OP 这个网络根本过不了等保，趁早找人写一个等保整改的方案去要预算

19 小时 42 分钟前

补充一下：

请认真核查你安装的应用，措施再严密，如果你装上有漏洞的应用，例如 PHP 某 CMS ，shell 都被拿了。

pljhonglu

18 小时 45 分钟前

最近搞家庭路由 ipv6 的方案：
内网服务全部反代到 80, 443 端口，对外通过 LDAP 接入，其他端口全关。
反代使用的 Traefik ，配置还挺方便的。

xcodeghost

17 小时 56 分钟前

安全是一套系统，包括各个环节都要做好，不能有薄弱的环节。不是说安装个杀毒软件、装个防火墙就万事大吉的。

letmedie

17 小时 54 分钟前

临时措施是套个社区版的雷池，至少能防住很多攻击。但是既然把业务对外暴露了，那么安全工作必须做到位，现在是信息安全大过天，直接一票否决的，出了问题网信办和网安下通知整改要领导背书的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1082624

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.