公司有很多应用在出口防火墙上面做了端口转发暴露在公网(来的时候就这样了),没有 WAF 、反代、DMZ 、NGFW ,只有 EDR 和 SEP 装在服务器上,这是前提。
然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?
PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX
然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?
PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX
63 条回复 • 2024-10-24 17:52:00 +08:00
 |
1
teasick 2 天前
中过一次勒索病毒怎么解决的
|
 |
2
timeisweapon 2 天前
你是小兵只管上报风险和建议处理方案,尽职免责。没人没钱搞毛,谁脑袋大谁背锅
|
 |
3
gvdlmjwje OP @timeisweapon 理想很丰富现实很骨感 出了问题上面找部门负责人,部门负责人找我,这他妈最终还是要我来处理烂摊子的啊 - -
|
|
5
timeisweapon 2 天前
@gvdlmjwje #3 看你的描述公司没有专门 IT 部门或者是网络工程师,考虑迁移到云上吧
|
 |
6
hingle 2 天前
企业 DMZ 跟路由器上的 DMZ 不一样,不允许主动访问内网也不能上外网。
做好网络隔离、使用低权限、容器或者虚拟机部署,避免入侵影响到其他应用。 |
 |
7
Melting 2 天前
不是专业的,只暴露业务端口不知道行不行,减少被渗透的风险
|
 |
9
lzy250 2 天前  1
公网只暴露 80/443 ,nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。
|
 |
10
Tumblr 2 天前 1
你这是整体从根基上就难处理啊,想做好就要重新设计了,我觉得不是你能决定得了的。
建议保持现状,在业务可用的前提下尽可能在防火墙上收缩访问控制,包括但不限于端口、源地址、协议等。 |
 |
11
wheat0r 2 天前 1
服务器放在内部安全域,在 DMZ 域放置反向代理。
出口 NAT 只放 443 、80 ,防火墙做安全域策略,确保外部到内部不通,外部到 DMZ 的策略细到端口,DMZ 到内部的策略也要细到端口,有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。 |
 |
13
Kinnice 2 天前 1
社区版本的雷池,够防大部分 web 类型的攻击了。
|
 |
15
loading 2 天前
补充一下:
请认真核查你安装的应用,措施再严密,如果你装上有漏洞的应用,例如 PHP 某 CMS ,shell 都被拿了。 |
 |
16
guo4224 2 天前
那就别开放公网,谁要用接入内网来用
|
 |
17
pljhonglu 2 天前
最近搞家庭路由 ipv6 的方案:
内网服务全部反代到 80, 443 端口,对外通过 LDAP 接入,其他端口全关。 反代使用的 Traefik ,配置还挺方便的。 |
 |
18
JensenQian 2 天前
mjj 建站都套个 cf ,搞下证书
|
 |
19
xcodeghost 2 天前
安全是一套系统,包括各个环节都要做好,不能有薄弱的环节。不是说安装个杀毒软件、装个防火墙就万事大吉的。
|
 |
20
letmedie 2 天前
临时措施是套个社区版的雷池,至少能防住很多攻击。但是既然把业务对外暴露了,那么安全工作必须做到位,现在是信息安全大过天,直接一票否决的,出了问题网信办和网安下通知整改要领导背书的。
|
 |
21
PHPer233 2 天前
先分类,不同的服务对应的防护措施不一样:Web 网站、SSH 服务、MySQL 数据库 ?
Web 网站这种 HTTP 协议的服务,可以使用云 WAF 。 SSH 服务、MySQL 数据库不使用默认端口、默认的用户名、密码,并且将软件版本更新到无漏洞版本。 |
 |
22
donaldturinglee 2 天前
用 OpenVPN ?
|
 |
23
mooyo 2 天前
你先明确需求,是内部暴露到公网给你们的用户使用,还是给你们员工使用?
如果是给用户使用,为啥不独立部署。 如果给员工使用,上个安全网关鉴权吧 |
 |
24
jeesk 2 天前 via Android
要求企业 vpn ,或者 cloudflare 的零信任
|
 |
25
ferock 2 天前 via Android
吃饭的事情,还是打铁要需自身硬。
没有金刚钻,就应该花钱 雇人也好,上云也好,都是解决方案,否则,这里的只字片语也不可能成为你的能力 |
 |
26
mejss 2 天前
重要服务 做好数据存储备份
互联网出口我目前用的华为的 av 、ips 防御 内网服务映射到外网,按类别对待,http/s 协议禁止映射,并在防火墙上做安全策略禁止 http 通过,采用 wireguard 或者 ikev2 方式连入内网再访问,常用于 oa 、erp 之类 其他协议的映射,通过审批流卡一卡,实在需要映射的,需要做好横向隔离,安全防护杀软系统补丁等安装更新 |
 |
27
byiceb 2 天前
上方案已经被否决了,那就做好备份吧
|
 |
28
proxytoworld 2 天前 1
半个业内人士做个回答吧
用一台虚拟机?或者是什么其他的机器跑雷池 waf ,流量先过 waf ,内部部署 EDR ,没钱最起码跑一个 360 ? 很多方案,但都要钱,先跑跑开源的吧,然后等着被勒索就行了,只有被打了才知道痛,才会投入 |
 |
29
ETiV 2 天前 via iPhone
那就不要暴露出去,反推你领导协同其他部门把所有之前暴露的端口回收掉。
我认为你这个事情首先是一个政治(非技术)问题,其次才是技术问题。 |
 |
30
dfdd1811 2 天前
被干了都不能推动整改落实,那就不是技术问题了,不是你职责范围就别管了,是职责范围想办法免责吧…如果您真是个小兵,推动不了就算了,反而折腾出问题还得担责
|
 |
31
AliceFizzy 2 天前
我司小规模,内网暴露公网主要就是为了 OA 之类的内部服务,我目前用的最简单效果也最好的方法就是访问 IP 白名单,只允许省内 IP 访问(因为 99%的情况都只有市内访问),以前看服务器 RDP 爆破的日志,绝大部分攻击都是国外 IP 。
自此用了白名单,日志都干净了不少 hhh |
 |
32
ala2008 2 天前
暴露了什么,正常的业务应该不会有漏洞啊
|
|
33
gvdlmjwje OP @AliceFizzy 问下,只允许省内 IP 访问是怎么做到的?这个 IP 地址库从哪获取呢
|
 |
35
991547436 2 天前
买宝塔 waf
|
|
37
AliceFizzy 2 天前 1
|
 |
38
SchwarzeR 2 天前
乍一看感觉涉及的系统太多了,光是第一步梳理各个系统对应的前后端端口关系就会很麻烦
前置一个 nginx 之类的 gateway 做一级代理的思路正确的,但是感觉用手动挡的方式会有很大的心智负担,既然是给公司干活,觉得可以考虑去看看相关的 waf 产品借鉴一下思路,比如雷池 waf 这种虽然鸡肋但是可以提供思路的开源,当然直接买产品那肯定是你好我好大家好还好甩锅 这种防护措施制定是个系统性工程,严格意义上来讲不光是运维的工作,涉及的起 vpn/划分 vlan 权限什么都需要全公司的配合 |
 |
39
waringid 2 天前
1 、整理完整的安全方案,方案的内容需要给 2~3 个配置选项(按费用和安全重要程度)并给出建议的方案选项,方案要重点描述解决的问题以及该问题对业务的影响(包括对公司名声的影响例如上级通报、国内报道等,如果是国企相关)
2 、如果上面 2 个方案都没批准的处理机制,重点要突出你所做的改善行动(描述采取了措施,但可能效果有限,突出强调在想办法解决这类安全风险) 3 、还可以建议增加专业人员或引入专业的安全服务团队,通过服务团队想办法改变公司决策人员的想法,推动项目进展 |
 |
41
zhangeric 2 天前
感觉你们公司业务啥的都是公司自己人在用,不对公众开放,这个应该上 vpn 而不是把服务暴露在公网上.
|
|
43
SchwarzeR 2 天前
@gvdlmjwje 我自己的小服务器放了一个开源版布着玩的,跑团队的周报管理/git 仓库,感觉真要靠它来挡攻击也就图一乐,企业级防护光靠这个恐怕也就比没有好那么一点。
不过拉一个放上去配好了能证明你干活了,以后再出问题就是:我干了啊,你们不批钱买服务我也很难办 |
 |
45
guanzhangzhang 2 天前
先梳理下哪些核心数据是最终的,有无备份恢复方案,走一遍备份的恢复看看可以用不,然后自动备份的机器是否足够安全。
然后再考虑怎么把业务安全整起来 |
 |
46
NGGTI 1 天前 via iPhone
别买设备了,不是设备不够的问题了,从管理上下手,没必要的收拢到内网。招个搞渗透测试的,做做渗透。现在开源的产品已经很好用了。
|
 |
47
netblue 1 天前
在公网开一个端口,frp 内网穿透到内网,客户端采用 STCP 访问,相当于客户端必需运行 frpc 程序且有密码才能访问。
|
 |
48
Chrisone 1 天前
等保来一下基本就知道差距了
|
 |
50
defunct9 1 天前
开 ssh ,让我上去看看先
|
 |
51
magicfield 1 天前
如果只是自己人用,别开公网了,用 VPN 比较安全
|
 |
52
jenson47 1 天前
为什么要用公网?
1. 如果只是内部人员使用,不开就不开 2. 必须开的话,可以加一些低成本防护措施,比如上面所说的免费的 waf ,或者在 nginx 中加入 base auth [密码复杂度设高点] 限制,固定入口 [难免有人被钓鱼] ,安全培训,也可以限制 ip 区域 如果程序可以调整的话, 调整用户密码复杂度,多因子认证等等 |
 |
55
KIMI360 1 天前
有些钱该交得交,交了保平安。万一被攻破,该买的防护我都买了。问题就是服务提供商的了,这都防不住难道怪我
|
|
56
waringid 1 天前
@gvdlmjwje 对比几个开源的 WAF 项目,这个应该是同时兼顾体验、性能和检测效果的。他的内核还是使用 Nginx 代理转发,安装和 UI 界面设计的不错。如果业务场景不复杂并且流量一般的情况开源免费版本就够用了(它也提供商业版和企业版)
|
 |
57
wolffcat 1 天前 via Android
零信任(高级版的反代) easyconnect 想自己搞也行 vpn 服务嘛
|
 |
58
sampeng 1 天前
一直没看到你是解释给客户还是公司内部用呢。内部最简单,一个 vpn 解忧愁。
如果是给客户。你好歹有个中介服务器反代只暴露 443 和 80 吧。。可以解决一大堆安全漏洞。攻击方向就只剩 nginx/f5 和你公司自身程序两个路子了,最少半桶水的脚本战士可以拦一大堆了。 另外这是老板提的还是你自己琢磨的?老板提的该买设备买设备。自己琢磨的。那就琢磨呗。大概率不会给你资源干。没啥好纠结的。。又不是你自己的东西,嘟囔抱怨两句完事 |
|
61
waringid 21 小时 43 分钟前
@gvdlmjwje 你可以参考这个部署 https://wiki.waringid.me/pages/viewpage.action?pageId=3211289 出现异常拦截的情况增加白名单也方便
|
|
63
sampeng 19 小时 23 分钟前
但凡不用 vpn 管理公司出口服务的。WAF 最多只能做到事后发现和预警,很难做到完美的防御。VPN 是一劳永逸的甩锅锅方式。北京还强一点,各个区的网警会定期扫描你的出口,有漏洞就请你去喝茶。
|
Select Language