公司有很多应用在出口防火墙上面做了端口转发暴露在公网(来的时候就这样了),没有 WAF 、反代、DMZ 、NGFW ,只有 EDR 和 SEP 装在服务器上,这是前提。
然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?
PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX
然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?
PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX
30 条回复 • 2024-10-23 08:04:42 +08:00
 |
1
teasick 15 小时 36 分钟前
中过一次勒索病毒怎么解决的
|
 |
2
timeisweapon 15 小时 33 分钟前
你是小兵只管上报风险和建议处理方案,尽职免责。没人没钱搞毛,谁脑袋大谁背锅
|
 |
3
gvdlmjwje OP @timeisweapon 理想很丰富现实很骨感 出了问题上面找部门负责人,部门负责人找我,这他妈最终还是要我来处理烂摊子的啊 - -
|
|
5
timeisweapon 15 小时 22 分钟前
@gvdlmjwje #3 看你的描述公司没有专门 IT 部门或者是网络工程师,考虑迁移到云上吧
|
 |
6
hingle 15 小时 21 分钟前
企业 DMZ 跟路由器上的 DMZ 不一样,不允许主动访问内网也不能上外网。
做好网络隔离、使用低权限、容器或者虚拟机部署,避免入侵影响到其他应用。 |
 |
7
Melting 15 小时 14 分钟前
不是专业的,只暴露业务端口不知道行不行,减少被渗透的风险
|
 |
9
lzy250 14 小时 50 分钟前
公网只暴露 80/443 ,nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。
|
 |
10
Tumblr 14 小时 30 分钟前
你这是整体从根基上就难处理啊,想做好就要重新设计了,我觉得不是你能决定得了的。
建议保持现状,在业务可用的前提下尽可能在防火墙上收缩访问控制,包括但不限于端口、源地址、协议等。 |
 |
11
wheat0r 14 小时 8 分钟前
服务器放在内部安全域,在 DMZ 域放置反向代理。
出口 NAT 只放 443 、80 ,防火墙做安全域策略,确保外部到内部不通,外部到 DMZ 的策略细到端口,DMZ 到内部的策略也要细到端口,有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。 |
 |
13
Kinnice 14 小时 5 分钟前  1
社区版本的雷池,够防大部分 web 类型的攻击了。
|
 |
15
loading 13 小时 54 分钟前
补充一下:
请认真核查你安装的应用,措施再严密,如果你装上有漏洞的应用,例如 PHP 某 CMS ,shell 都被拿了。 |
 |
16
guo4224 13 小时 50 分钟前
那就别开放公网,谁要用接入内网来用
|
 |
17
pljhonglu 12 小时 57 分钟前
最近搞家庭路由 ipv6 的方案:
内网服务全部反代到 80, 443 端口,对外通过 LDAP 接入,其他端口全关。 反代使用的 Traefik ,配置还挺方便的。 |
 |
18
JensenQian 12 小时 29 分钟前
mjj 建站都套个 cf ,搞下证书
|
 |
19
xcodeghost 12 小时 8 分钟前
安全是一套系统,包括各个环节都要做好,不能有薄弱的环节。不是说安装个杀毒软件、装个防火墙就万事大吉的。
|
 |
20
letmedie 12 小时 6 分钟前
临时措施是套个社区版的雷池,至少能防住很多攻击。但是既然把业务对外暴露了,那么安全工作必须做到位,现在是信息安全大过天,直接一票否决的,出了问题网信办和网安下通知整改要领导背书的。
|
 |
21
PHPer233 11 小时 35 分钟前
先分类,不同的服务对应的防护措施不一样:Web 网站、SSH 服务、MySQL 数据库 ?
Web 网站这种 HTTP 协议的服务,可以使用云 WAF 。 SSH 服务、MySQL 数据库不使用默认端口、默认的用户名、密码,并且将软件版本更新到无漏洞版本。 |
 |
22
donaldturinglee 11 小时 34 分钟前
用 OpenVPN ?
|
 |
23
mooyo 11 小时 29 分钟前
你先明确需求,是内部暴露到公网给你们的用户使用,还是给你们员工使用?
如果是给用户使用,为啥不独立部署。 如果给员工使用,上个安全网关鉴权吧 |
 |
24
jeesk 10 小时 28 分钟前 via Android
要求企业 vpn ,或者 cloudflare 的零信任
|
 |
25
ferock 10 小时 24 分钟前 via Android
吃饭的事情,还是打铁要需自身硬。
没有金刚钻,就应该花钱 雇人也好,上云也好,都是解决方案,否则,这里的只字片语也不可能成为你的能力 |
 |
26
mejss 9 小时 56 分钟前
重要服务 做好数据存储备份
互联网出口我目前用的华为的 av 、ips 防御 内网服务映射到外网,按类别对待,http/s 协议禁止映射,并在防火墙上做安全策略禁止 http 通过,采用 wireguard 或者 ikev2 方式连入内网再访问,常用于 oa 、erp 之类 其他协议的映射,通过审批流卡一卡,实在需要映射的,需要做好横向隔离,安全防护杀软系统补丁等安装更新 |
 |
27
byiceb 9 小时 50 分钟前
上方案已经被否决了,那就做好备份吧
|
 |
28
proxytoworld 9 小时 18 分钟前
半个业内人士做个回答吧
用一台虚拟机?或者是什么其他的机器跑雷池 waf ,流量先过 waf ,内部部署 EDR ,没钱最起码跑一个 360 ? 很多方案,但都要钱,先跑跑开源的吧,然后等着被勒索就行了,只有被打了才知道痛,才会投入 |
 |
29
ETiV 7 小时 52 分钟前 via iPhone
那就不要暴露出去,反推你领导协同其他部门把所有之前暴露的端口回收掉。
我认为你这个事情首先是一个政治(非技术)问题,其次才是技术问题。 |
 |
30
dfdd1811 29 分钟前
被干了都不能推动整改落实,那就不是技术问题了,不是你职责范围就别管了,是职责范围想办法免责吧…如果您真是个小兵,推动不了就算了,反而折腾出问题还得担责
|
Select Language