企业里面暴露内网服务到公网怎么做安全？

公司有很多应用在出口防火墙上面做了端口转发暴露在公网（来的时候就这样了），没有 WAF 、反代、DMZ 、NGFW ，只有 EDR 和 SEP 装在服务器上，这是前提。

然后去年中过一次勒索病毒，今年被抽中做渗透测试的蓝方，两次都暴露了很多网络安全问题；上面的 EDR 就是去年中勒索后批的，防火墙很老的 juniper ，这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了，只能问问老哥们还有啥招了？

PS：坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过，有没有人指点一下具体怎么做的？ THX

PHPer233

15 小时 32 分钟前

先分类，不同的服务对应的防护措施不一样：Web 网站、SSH 服务、MySQL 数据库？
Web 网站这种 HTTP 协议的服务，可以使用云 WAF 。
SSH 服务、MySQL 数据库不使用默认端口、默认的用户名、密码，并且将软件版本更新到无漏洞版本。

donaldturinglee

15 小时 31 分钟前

用 OpenVPN ？

mooyo

15 小时 26 分钟前

你先明确需求，是内部暴露到公网给你们的用户使用，还是给你们员工使用？

如果是给用户使用，为啥不独立部署。
如果给员工使用，上个安全网关鉴权吧

jeesk

14 小时 26 分钟前

要求企业 vpn ，或者 cloudflare 的零信任

ferock

14 小时 21 分钟前

吃饭的事情，还是打铁要需自身硬。
没有金刚钻，就应该花钱

雇人也好，上云也好，都是解决方案，否则，这里的只字片语也不可能成为你的能力

mejss

13 小时 54 分钟前

重要服务做好数据存储备份
互联网出口我目前用的华为的 av 、ips 防御
内网服务映射到外网，按类别对待，http/s 协议禁止映射，并在防火墙上做安全策略禁止 http 通过，采用 wireguard 或者 ikev2 方式连入内网再访问，常用于 oa 、erp 之类
其他协议的映射，通过审批流卡一卡，实在需要映射的，需要做好横向隔离，安全防护杀软系统补丁等安装更新

byiceb

13 小时 48 分钟前

上方案已经被否决了，那就做好备份吧

proxytoworld

13 小时 16 分钟前

半个业内人士做个回答吧
用一台虚拟机？或者是什么其他的机器跑雷池 waf ，流量先过 waf ，内部部署 EDR ，没钱最起码跑一个 360 ？

很多方案，但都要钱，先跑跑开源的吧，然后等着被勒索就行了，只有被打了才知道痛，才会投入

ETiV

11 小时 50 分钟前

那就不要暴露出去，反推你领导协同其他部门把所有之前暴露的端口回收掉。

我认为你这个事情首先是一个政治（非技术）问题，其次才是技术问题。

dfdd1811

4 小时 27 分钟前

被干了都不能推动整改落实，那就不是技术问题了，不是你职责范围就别管了，是职责范围想办法免责吧…如果您真是个小兵，推动不了就算了，反而折腾出问题还得担责

AliceFizzy

3 小时 30 分钟前

我司小规模，内网暴露公网主要就是为了 OA 之类的内部服务，我目前用的最简单效果也最好的方法就是访问 IP 白名单，只允许省内 IP 访问（因为 99%的情况都只有市内访问），以前看服务器 RDP 爆破的日志，绝大部分攻击都是国外 IP 。
自此用了白名单，日志都干净了不少 hhh

ala2008

2 小时 58 分钟前

暴露了什么，正常的业务应该不会有漏洞啊

gvdlmjwje

2 小时 50 分钟前

@AliceFizzy 问下，只允许省内 IP 访问是怎么做到的？这个 IP 地址库从哪获取呢

gvdlmjwje

2 小时 42 分钟前

@wheat0r #11 反向代理 nginx 即可？

991547436

2 小时 41 分钟前

买宝塔 waf

gvdlmjwje

2 小时 38 分钟前

@lzy250 公网只暴露 80/443 的话，我内网有很多应用，怎么一一对应呢？

AliceFizzy

2 小时 35 分钟前

@gvdlmjwje 我是用这个网站的数据（ http://ipcn.chacuo.net/）；目前为止就使用外地流量卡的员工反馈偶尔会被误杀

SchwarzeR

2 小时 15 分钟前

乍一看感觉涉及的系统太多了，光是第一步梳理各个系统对应的前后端端口关系就会很麻烦

前置一个 nginx 之类的 gateway 做一级代理的思路正确的，但是感觉用手动挡的方式会有很大的心智负担，既然是给公司干活，觉得可以考虑去看看相关的 waf 产品借鉴一下思路，比如雷池 waf 这种虽然鸡肋但是可以提供思路的开源，当然直接买产品那肯定是你好我好大家好还好甩锅

这种防护措施制定是个系统性工程，严格意义上来讲不光是运维的工作，涉及的起 vpn/划分 vlan 权限什么都需要全公司的配合

waringid

2 小时 0 分钟前

1 、整理完整的安全方案，方案的内容需要给 2~3 个配置选项（按费用和安全重要程度）并给出建议的方案选项，方案要重点描述解决的问题以及该问题对业务的影响（包括对公司名声的影响例如上级通报、国内报道等，如果是国企相关）
2 、如果上面 2 个方案都没批准的处理机制，重点要突出你所做的改善行动（描述采取了措施，但可能效果有限，突出强调在想办法解决这类安全风险）
3 、还可以建议增加专业人员或引入专业的安全服务团队，通过服务团队想办法改变公司决策人员的想法，推动项目进展

gvdlmjwje

1 小时 54 分钟前

@SchwarzeR 我看下来感觉雷池 waf 还不错，老哥有使用经验吗？这个很鸡肋？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1082624

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.