公司有很多应用在出口防火墙上面做了端口转发暴露在公网(来的时候就这样了),没有 WAF 、反代、DMZ 、NGFW ,只有 EDR 和 SEP 装在服务器上,这是前提。然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX

中过一次勒索病毒怎么解决的

你是小兵只管上报风险和建议处理方案,尽职免责。没人没钱搞毛,谁脑袋大谁背锅

理想很丰富现实很骨感 出了问题上面找部门负责人,部门负责人找我,这他妈最终还是要我来处理烂摊子的啊 - -

虚拟机,用 veeam 恢复的。

#3 看你的描述公司没有专门 IT 部门或者是网络工程师,考虑迁移到云上吧

企业 DMZ 跟路由器上的 DMZ 不一样,不允许主动访问内网也不能上外网。做好网络隔离、使用低权限、容器或者虚拟机部署,避免入侵影响到其他应用。

不是专业的,只暴露业务端口不知道行不行,减少被渗透的风险

那 DMZ 没用,这些应用内外网都要用。如果用 NGINX 反代可以吗,然后只暴露 NGINX 到公网?

公网只暴露 80/443 ,nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。

你这是整体从根基上就难处理啊,想做好就要重新设计了,我觉得不是你能决定得了的。建议保持现状,在业务可用的前提下尽可能在防火墙上收缩访问控制,包括但不限于端口、源地址、协议等。

服务器放在内部安全域,在 DMZ 域放置反向代理。出口 NAT 只放 443 、80 ,防火墙做安全域策略,确保外部到内部不通,外部到 DMZ 的策略细到端口,DMZ 到内部的策略也要细到端口,有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。

#11 补充一下,如果存在可能的等保要求,OP 这个网络根本过不了等保,趁早找人写一个等保整改的方案去要预算

社区版本的雷池,够防大部分 web 类型的攻击了。

还是第一次听说这个。

补充一下:请认真核查你安装的应用,措施再严密,如果你装上有漏洞的应用,例如 PHP 某 CMS ,shell 都被拿了。

那就别开放公网,谁要用接入内网来用

最近搞家庭路由 ipv6 的方案:内网服务全部反代到 80, 443 端口,对外通过 LDAP 接入,其他端口全关。反代使用的 Traefik ,配置还挺方便的。

mjj 建站都套个 cf ,搞下证书

安全是一套系统,包括各个环节都要做好,不能有薄弱的环节。不是说安装个杀毒软件、装个防火墙就万事大吉的。

临时措施是套个社区版的雷池,至少能防住很多攻击。但是既然把业务对外暴露了,那么安全工作必须做到位,现在是信息安全大过天,直接一票否决的,出了问题网信办和网安下通知整改要领导背书的。

先分类,不同的服务对应的防护措施不一样:Web 网站、SSH 服务、MySQL 数据库 ?Web 网站这种 HTTP 协议的服务,可以使用云 WAF 。SSH 服务、MySQL 数据库不使用默认端口、默认的用户名、密码,并且将软件版本更新到无漏洞版本。

用 OpenVPN ?

你先明确需求,是内部暴露到公网给你们的用户使用,还是给你们员工使用?如果是给用户使用,为啥不独立部署。如果给员工使用,上个安全网关鉴权吧

要求企业 vpn ,或者 cloudflare 的零信任

吃饭的事情,还是打铁要需自身硬。没有金刚钻,就应该花钱雇人也好,上云也好,都是解决方案,否则,这里的只字片语也不可能成为你的能力

重要服务 做好数据存储备份互联网出口我目前用的华为的 av 、ips 防御内网服务映射到外网,按类别对待,http/s 协议禁止映射,并在防火墙上做安全策略禁止 http 通过,采用 wireguard 或者 ikev2 方式连入内网再访问,常用于 oa 、erp 之类其他协议的映射,通过审批流卡一卡,实在需要映射的,需要做好横向隔离,安全防护杀软系统补丁等安装更新

上方案已经被否决了,那就做好备份吧

半个业内人士做个回答吧用一台虚拟机?或者是什么其他的机器跑雷池 waf ,流量先过 waf ,内部部署 EDR ,没钱最起码跑一个 360 ?很多方案,但都要钱,先跑跑开源的吧,然后等着被勒索就行了,只有被打了才知道痛,才会投入

那就不要暴露出去,反推你领导协同其他部门把所有之前暴露的端口回收掉。我认为你这个事情首先是一个政治(非技术)问题,其次才是技术问题。

被干了都不能推动整改落实,那就不是技术问题了,不是你职责范围就别管了,是职责范围想办法免责吧…如果您真是个小兵,推动不了就算了,反而折腾出问题还得担责

我司小规模,内网暴露公网主要就是为了 OA 之类的内部服务,我目前用的最简单效果也最好的方法就是访问 IP 白名单,只允许省内 IP 访问(因为 99%的情况都只有市内访问),以前看服务器 RDP 爆破的日志,绝大部分攻击都是国外 IP 。自此用了白名单,日志都干净了不少 hhh

暴露了什么,正常的业务应该不会有漏洞啊

问下,只允许省内 IP 访问是怎么做到的?这个 IP 地址库从哪获取呢

#11 反向代理 nginx 即可?

买宝塔 waf

公网只暴露 80/443 的话,我内网有很多应用,怎么一一对应呢?

我是用这个网站的数据( ipcn.chacuo.net/);目前为止就使用外地流量卡的员工反馈偶尔会被误杀

乍一看感觉涉及的系统太多了,光是第一步梳理各个系统对应的前后端端口关系就会很麻烦前置一个 nginx 之类的 gateway 做一级代理的思路正确的,但是感觉用手动挡的方式会有很大的心智负担,既然是给公司干活,觉得可以考虑去看看相关的 waf 产品借鉴一下思路,比如雷池 waf 这种虽然鸡肋但是可以提供思路的开源,当然直接买产品那肯定是你好我好大家好还好甩锅这种防护措施制定是个系统性工程,严格意义上来讲不光是运维的工作,涉及的起 vpn/划分 vlan 权限什么都需要全公司的配合

1 、整理完整的安全方案,方案的内容需要给 2~3 个配置选项(按费用和安全重要程度)并给出建议的方案选项,方案要重点描述解决的问题以及该问题对业务的影响(包括对公司名声的影响例如上级通报、国内报道等,如果是国企相关)2 、如果上面 2 个方案都没批准的处理机制,重点要突出你所做的改善行动(描述采取了措施,但可能效果有限,突出强调在想办法解决这类安全风险)3 、还可以建议增加专业人员或引入专业的安全服务团队,通过服务团队想办法改变公司决策人员的想法,推动项目进展

我看下来感觉雷池 waf 还不错,老哥有使用经验吗?这个很鸡肋?
感觉你们公司业务啥的都是公司自己人在用,不对公众开放,这个应该上 vpn 而不是把服务暴露在公网上.