V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gvdlmjwje
V2EX  ›  程序员

企业里面暴露内网服务到公网怎么做安全?

  •  
  •   gvdlmjwje · 9 天前 · 4126 次点击
    公司有很多应用在出口防火墙上面做了端口转发暴露在公网(来的时候就这样了),没有 WAF 、反代、DMZ 、NGFW ,只有 EDR 和 SEP 装在服务器上,这是前提。

    然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?

    PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX
    第 1 条附言  ·  4 天前
    目前采取了以下措施:
    1.公网映射白名单
    2.部分映射改为 VPN
    3.部署雷池
    64 条回复    2024-10-25 14:00:24 +08:00
    teasick
        1
    teasick  
       9 天前
    中过一次勒索病毒怎么解决的
    timeisweapon
        2
    timeisweapon  
       9 天前
    你是小兵只管上报风险和建议处理方案,尽职免责。没人没钱搞毛,谁脑袋大谁背锅
    gvdlmjwje
        3
    gvdlmjwje  
    OP
       9 天前
    @timeisweapon 理想很丰富现实很骨感 出了问题上面找部门负责人,部门负责人找我,这他妈最终还是要我来处理烂摊子的啊 - -
    gvdlmjwje
        4
    gvdlmjwje  
    OP
       9 天前
    @teasick 虚拟机,用 veeam 恢复的。
    timeisweapon
        5
    timeisweapon  
       9 天前
    @gvdlmjwje #3 看你的描述公司没有专门 IT 部门或者是网络工程师,考虑迁移到云上吧
    hingle
        6
    hingle  
       9 天前
    企业 DMZ 跟路由器上的 DMZ 不一样,不允许主动访问内网也不能上外网。
    做好网络隔离、使用低权限、容器或者虚拟机部署,避免入侵影响到其他应用。
    Melting
        7
    Melting  
       9 天前
    不是专业的,只暴露业务端口不知道行不行,减少被渗透的风险
    gvdlmjwje
        8
    gvdlmjwje  
    OP
       9 天前
    @hingle 那 DMZ 没用,这些应用内外网都要用。如果用 NGINX 反代可以吗,然后只暴露 NGINX 到公网?
    lzy250
        9
    lzy250  
       9 天前   ❤️ 1
    公网只暴露 80/443 ,nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。
    Tumblr
        10
    Tumblr  
       9 天前   ❤️ 1
    你这是整体从根基上就难处理啊,想做好就要重新设计了,我觉得不是你能决定得了的。
    建议保持现状,在业务可用的前提下尽可能在防火墙上收缩访问控制,包括但不限于端口、源地址、协议等。
    wheat0r
        11
    wheat0r  
       9 天前   ❤️ 1
    服务器放在内部安全域,在 DMZ 域放置反向代理。
    出口 NAT 只放 443 、80 ,防火墙做安全域策略,确保外部到内部不通,外部到 DMZ 的策略细到端口,DMZ 到内部的策略也要细到端口,有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。
    wheat0r
        12
    wheat0r  
       9 天前
    @wheat0r #11 补充一下,如果存在可能的等保要求,OP 这个网络根本过不了等保,趁早找人写一个等保整改的方案去要预算
    Kinnice
        13
    Kinnice  
       9 天前   ❤️ 1
    社区版本的雷池,够防大部分 web 类型的攻击了。
    liuzimin
        14
    liuzimin  
       9 天前
    @Kinnice 还是第一次听说这个。
    loading
        15
    loading  
       9 天前
    补充一下:

    请认真核查你安装的应用,措施再严密,如果你装上有漏洞的应用,例如 PHP 某 CMS ,shell 都被拿了。
    guo4224
        16
    guo4224  
       9 天前
    那就别开放公网,谁要用接入内网来用
    pljhonglu
        17
    pljhonglu  
       9 天前
    最近搞家庭路由 ipv6 的方案:
    内网服务全部反代到 80, 443 端口,对外通过 LDAP 接入,其他端口全关。
    反代使用的 Traefik ,配置还挺方便的。
    JensenQian
        18
    JensenQian  
       9 天前
    mjj 建站都套个 cf ,搞下证书
    xcodeghost
        19
    xcodeghost  
       9 天前
    安全是一套系统,包括各个环节都要做好,不能有薄弱的环节。不是说安装个杀毒软件、装个防火墙就万事大吉的。
    letmedie
        20
    letmedie  
       9 天前
    临时措施是套个社区版的雷池,至少能防住很多攻击。但是既然把业务对外暴露了,那么安全工作必须做到位,现在是信息安全大过天,直接一票否决的,出了问题网信办和网安下通知整改要领导背书的。
    PHPer233
        21
    PHPer233  
       9 天前
    先分类,不同的服务对应的防护措施不一样:Web 网站、SSH 服务、MySQL 数据库 ?
    Web 网站这种 HTTP 协议的服务,可以使用云 WAF 。
    SSH 服务、MySQL 数据库不使用默认端口、默认的用户名、密码,并且将软件版本更新到无漏洞版本。
    donaldturinglee
        22
    donaldturinglee  
       9 天前
    用 OpenVPN ?
    mooyo
        23
    mooyo  
       9 天前
    你先明确需求,是内部暴露到公网给你们的用户使用,还是给你们员工使用?

    如果是给用户使用,为啥不独立部署。
    如果给员工使用,上个安全网关鉴权吧
    jeesk
        24
    jeesk  
       9 天前 via Android
    要求企业 vpn ,或者 cloudflare 的零信任
    ferock
        25
    ferock  
       9 天前 via Android
    吃饭的事情,还是打铁要需自身硬。
    没有金刚钻,就应该花钱

    雇人也好,上云也好,都是解决方案,否则,这里的只字片语也不可能成为你的能力
    mejss
        26
    mejss  
       9 天前
    重要服务 做好数据存储备份
    互联网出口我目前用的华为的 av 、ips 防御
    内网服务映射到外网,按类别对待,http/s 协议禁止映射,并在防火墙上做安全策略禁止 http 通过,采用 wireguard 或者 ikev2 方式连入内网再访问,常用于 oa 、erp 之类
    其他协议的映射,通过审批流卡一卡,实在需要映射的,需要做好横向隔离,安全防护杀软系统补丁等安装更新
    byiceb
        27
    byiceb  
       9 天前
    上方案已经被否决了,那就做好备份吧
    proxytoworld
        28
    proxytoworld  
       9 天前   ❤️ 1
    半个业内人士做个回答吧
    用一台虚拟机?或者是什么其他的机器跑雷池 waf ,流量先过 waf ,内部部署 EDR ,没钱最起码跑一个 360 ?

    很多方案,但都要钱,先跑跑开源的吧,然后等着被勒索就行了,只有被打了才知道痛,才会投入
    ETiV
        29
    ETiV  
       9 天前 via iPhone
    那就不要暴露出去,反推你领导协同其他部门把所有之前暴露的端口回收掉。

    我认为你这个事情首先是一个政治(非技术)问题,其次才是技术问题。
    dfdd1811
        30
    dfdd1811  
       9 天前
    被干了都不能推动整改落实,那就不是技术问题了,不是你职责范围就别管了,是职责范围想办法免责吧…如果您真是个小兵,推动不了就算了,反而折腾出问题还得担责
    AliceFizzy
        31
    AliceFizzy  
       9 天前
    我司小规模,内网暴露公网主要就是为了 OA 之类的内部服务,我目前用的最简单效果也最好的方法就是访问 IP 白名单,只允许省内 IP 访问(因为 99%的情况都只有市内访问),以前看服务器 RDP 爆破的日志,绝大部分攻击都是国外 IP 。
    自此用了白名单,日志都干净了不少 hhh
    ala2008
        32
    ala2008  
       8 天前
    暴露了什么,正常的业务应该不会有漏洞啊
    gvdlmjwje
        33
    gvdlmjwje  
    OP
       8 天前
    @AliceFizzy 问下,只允许省内 IP 访问是怎么做到的?这个 IP 地址库从哪获取呢
    gvdlmjwje
        34
    gvdlmjwje  
    OP
       8 天前
    @wheat0r #11 反向代理 nginx 即可?
    991547436
        35
    991547436  
       8 天前
    买宝塔 waf
    gvdlmjwje
        36
    gvdlmjwje  
    OP
       8 天前
    @lzy250 公网只暴露 80/443 的话,我内网有很多应用,怎么一一对应呢?
    SchwarzeR
        38
    SchwarzeR  
       8 天前
    乍一看感觉涉及的系统太多了,光是第一步梳理各个系统对应的前后端端口关系就会很麻烦

    前置一个 nginx 之类的 gateway 做一级代理的思路正确的,但是感觉用手动挡的方式会有很大的心智负担,既然是给公司干活,觉得可以考虑去看看相关的 waf 产品借鉴一下思路,比如雷池 waf 这种虽然鸡肋但是可以提供思路的开源,当然直接买产品那肯定是你好我好大家好还好甩锅

    这种防护措施制定是个系统性工程,严格意义上来讲不光是运维的工作,涉及的起 vpn/划分 vlan 权限什么都需要全公司的配合
    waringid
        39
    waringid  
       8 天前
    1 、整理完整的安全方案,方案的内容需要给 2~3 个配置选项(按费用和安全重要程度)并给出建议的方案选项,方案要重点描述解决的问题以及该问题对业务的影响(包括对公司名声的影响例如上级通报、国内报道等,如果是国企相关)
    2 、如果上面 2 个方案都没批准的处理机制,重点要突出你所做的改善行动(描述采取了措施,但可能效果有限,突出强调在想办法解决这类安全风险)
    3 、还可以建议增加专业人员或引入专业的安全服务团队,通过服务团队想办法改变公司决策人员的想法,推动项目进展
    gvdlmjwje
        40
    gvdlmjwje  
    OP
       8 天前
    @SchwarzeR 我看下来感觉雷池 waf 还不错,老哥有使用经验吗?这个很鸡肋?
    zhangeric
        41
    zhangeric  
       8 天前
    感觉你们公司业务啥的都是公司自己人在用,不对公众开放,这个应该上 vpn 而不是把服务暴露在公网上.
    gvdlmjwje
        42
    gvdlmjwje  
    OP
       8 天前
    @zhangeric 也不是,有些 QMS SRM 什么的系统还要给合作伙伴用- -|||
    SchwarzeR
        43
    SchwarzeR  
       8 天前
    @gvdlmjwje 我自己的小服务器放了一个开源版布着玩的,跑团队的周报管理/git 仓库,感觉真要靠它来挡攻击也就图一乐,企业级防护光靠这个恐怕也就比没有好那么一点。
    不过拉一个放上去配好了能证明你干活了,以后再出问题就是:我干了啊,你们不批钱买服务我也很难办
    Ipsum
        44
    Ipsum  
       8 天前 via Android
    @gvdlmjwje 域名分流,path 分流都可以,这不是个问题
    guanzhangzhang
        45
    guanzhangzhang  
       8 天前
    先梳理下哪些核心数据是最终的,有无备份恢复方案,走一遍备份的恢复看看可以用不,然后自动备份的机器是否足够安全。
    然后再考虑怎么把业务安全整起来
    NGGTI
        46
    NGGTI  
       8 天前 via iPhone
    别买设备了,不是设备不够的问题了,从管理上下手,没必要的收拢到内网。招个搞渗透测试的,做做渗透。现在开源的产品已经很好用了。
    netblue
        47
    netblue  
       8 天前
    在公网开一个端口,frp 内网穿透到内网,客户端采用 STCP 访问,相当于客户端必需运行 frpc 程序且有密码才能访问。
    Chrisone
        48
    Chrisone  
       8 天前
    等保来一下基本就知道差距了
    wheat0r
        49
    wheat0r  
       8 天前
    @gvdlmjwje #34 用什么做反向代理看你心情,这台服务器记得要加固
    defunct9
        50
    defunct9  
       8 天前
    开 ssh ,让我上去看看先
    magicfield
        51
    magicfield  
       8 天前
    如果只是自己人用,别开公网了,用 VPN 比较安全
    jenson47
        52
    jenson47  
       8 天前
    为什么要用公网?
    1. 如果只是内部人员使用,不开就不开
    2. 必须开的话,可以加一些低成本防护措施,比如上面所说的免费的 waf ,或者在 nginx 中加入 base auth [密码复杂度设高点] 限制,固定入口 [难免有人被钓鱼] ,安全培训,也可以限制 ip 区域
    如果程序可以调整的话, 调整用户密码复杂度,多因子认证等等
    lzy250
        53
    lzy250  
       8 天前
    @gvdlmjwje nginx 转发, 满足不了吗
    gvdlmjwje
        54
    gvdlmjwje  
    OP
       8 天前
    @defunct9 哈哈 你每次都这么说
    KIMI360
        55
    KIMI360  
       8 天前
    有些钱该交得交,交了保平安。万一被攻破,该买的防护我都买了。问题就是服务提供商的了,这都防不住难道怪我
    waringid
        56
    waringid  
       7 天前
    @gvdlmjwje 对比几个开源的 WAF 项目,这个应该是同时兼顾体验、性能和检测效果的。他的内核还是使用 Nginx 代理转发,安装和 UI 界面设计的不错。如果业务场景不复杂并且流量一般的情况开源免费版本就够用了(它也提供商业版和企业版)
    wolffcat
        57
    wolffcat  
       7 天前 via Android
    零信任(高级版的反代) easyconnect 想自己搞也行 vpn 服务嘛
    sampeng
        58
    sampeng  
       7 天前
    一直没看到你是解释给客户还是公司内部用呢。内部最简单,一个 vpn 解忧愁。
    如果是给客户。你好歹有个中介服务器反代只暴露 443 和 80 吧。。可以解决一大堆安全漏洞。攻击方向就只剩 nginx/f5 和你公司自身程序两个路子了,最少半桶水的脚本战士可以拦一大堆了。
    另外这是老板提的还是你自己琢磨的?老板提的该买设备买设备。自己琢磨的。那就琢磨呗。大概率不会给你资源干。没啥好纠结的。。又不是你自己的东西,嘟囔抱怨两句完事
    gvdlmjwje
        59
    gvdlmjwje  
    OP
       7 天前
    @waringid #56 感谢,就决定用这个了
    gvdlmjwje
        60
    gvdlmjwje  
    OP
       7 天前
    @sampeng 内部和外部供应商都要用
    waringid
        61
    waringid  
       7 天前
    @gvdlmjwje 你可以参考这个部署 https://wiki.waringid.me/pages/viewpage.action?pageId=3211289 出现异常拦截的情况增加白名单也方便
    sampeng
        62
    sampeng  
       7 天前
    @gvdlmjwje 供应商?那就简单了啊。。vpn 完事。供应商也是 vpn 进来的。一个路由器就搞定了。
    sampeng
        63
    sampeng  
       7 天前
    但凡不用 vpn 管理公司出口服务的。WAF 最多只能做到事后发现和预警,很难做到完美的防御。VPN 是一劳永逸的甩锅锅方式。北京还强一点,各个区的网警会定期扫描你的出口,有漏洞就请你去喝茶。
    gvdlmjwje
        64
    gvdlmjwje  
    OP
       6 天前
    @waringid #61 老哥你这个博客好强啊,已收藏
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5486 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 01:29 · PVG 09:29 · LAX 18:29 · JFK 21:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.