V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gvdlmjwje
V2EX  ›  程序员

企业里面暴露内网服务到公网怎么做安全?

  •  
  •   gvdlmjwje · 32 天前 · 4427 次点击
    这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司有很多应用在出口防火墙上面做了端口转发暴露在公网(来的时候就这样了),没有 WAF 、反代、DMZ 、NGFW ,只有 EDR 和 SEP 装在服务器上,这是前提。

    然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?

    PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX
    第 1 条附言  ·  26 天前
    目前采取了以下措施:
    1.公网映射白名单
    2.部分映射改为 VPN
    3.部署雷池
    64 条回复    2024-10-25 14:00:24 +08:00
    teasick
        1
    teasick  
       32 天前
    中过一次勒索病毒怎么解决的
    timeisweapon
        2
    timeisweapon  
       32 天前
    你是小兵只管上报风险和建议处理方案,尽职免责。没人没钱搞毛,谁脑袋大谁背锅
    gvdlmjwje
        3
    gvdlmjwje  
    OP
       32 天前
    @timeisweapon 理想很丰富现实很骨感 出了问题上面找部门负责人,部门负责人找我,这他妈最终还是要我来处理烂摊子的啊 - -
    gvdlmjwje
        4
    gvdlmjwje  
    OP
       32 天前
    @teasick 虚拟机,用 veeam 恢复的。
    timeisweapon
        5
    timeisweapon  
       32 天前
    @gvdlmjwje #3 看你的描述公司没有专门 IT 部门或者是网络工程师,考虑迁移到云上吧
    hingle
        6
    hingle  
       32 天前
    企业 DMZ 跟路由器上的 DMZ 不一样,不允许主动访问内网也不能上外网。
    做好网络隔离、使用低权限、容器或者虚拟机部署,避免入侵影响到其他应用。
    Melting
        7
    Melting  
       32 天前
    不是专业的,只暴露业务端口不知道行不行,减少被渗透的风险
    gvdlmjwje
        8
    gvdlmjwje  
    OP
       32 天前
    @hingle 那 DMZ 没用,这些应用内外网都要用。如果用 NGINX 反代可以吗,然后只暴露 NGINX 到公网?
    lzy250
        9
    lzy250  
       32 天前   ❤️ 1
    公网只暴露 80/443 ,nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。
    Tumblr
        10
    Tumblr  
       32 天前   ❤️ 1
    你这是整体从根基上就难处理啊,想做好就要重新设计了,我觉得不是你能决定得了的。
    建议保持现状,在业务可用的前提下尽可能在防火墙上收缩访问控制,包括但不限于端口、源地址、协议等。
    wheat0r
        11
    wheat0r  
       31 天前   ❤️ 1
    服务器放在内部安全域,在 DMZ 域放置反向代理。
    出口 NAT 只放 443 、80 ,防火墙做安全域策略,确保外部到内部不通,外部到 DMZ 的策略细到端口,DMZ 到内部的策略也要细到端口,有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。
    wheat0r
        12
    wheat0r  
       31 天前
    @wheat0r #11 补充一下,如果存在可能的等保要求,OP 这个网络根本过不了等保,趁早找人写一个等保整改的方案去要预算
    Kinnice
        13
    Kinnice  
       31 天前   ❤️ 1
    社区版本的雷池,够防大部分 web 类型的攻击了。
    liuzimin
        14
    liuzimin  
       31 天前
    @Kinnice 还是第一次听说这个。
    loading
        15
    loading  
       31 天前
    补充一下:

    请认真核查你安装的应用,措施再严密,如果你装上有漏洞的应用,例如 PHP 某 CMS ,shell 都被拿了。
    guo4224
        16
    guo4224  
       31 天前
    那就别开放公网,谁要用接入内网来用
    pljhonglu
        17
    pljhonglu  
       31 天前
    最近搞家庭路由 ipv6 的方案:
    内网服务全部反代到 80, 443 端口,对外通过 LDAP 接入,其他端口全关。
    反代使用的 Traefik ,配置还挺方便的。
    JensenQian
        18
    JensenQian  
       31 天前
    mjj 建站都套个 cf ,搞下证书
    xcodeghost
        19
    xcodeghost  
       31 天前
    安全是一套系统,包括各个环节都要做好,不能有薄弱的环节。不是说安装个杀毒软件、装个防火墙就万事大吉的。
    letmedie
        20
    letmedie  
       31 天前
    临时措施是套个社区版的雷池,至少能防住很多攻击。但是既然把业务对外暴露了,那么安全工作必须做到位,现在是信息安全大过天,直接一票否决的,出了问题网信办和网安下通知整改要领导背书的。
    PHPer233
        21
    PHPer233  
       31 天前
    先分类,不同的服务对应的防护措施不一样:Web 网站、SSH 服务、MySQL 数据库 ?
    Web 网站这种 HTTP 协议的服务,可以使用云 WAF 。
    SSH 服务、MySQL 数据库不使用默认端口、默认的用户名、密码,并且将软件版本更新到无漏洞版本。
    donaldturinglee
        22
    donaldturinglee  
       31 天前
    用 OpenVPN ?
    mooyo
        23
    mooyo  
       31 天前
    你先明确需求,是内部暴露到公网给你们的用户使用,还是给你们员工使用?

    如果是给用户使用,为啥不独立部署。
    如果给员工使用,上个安全网关鉴权吧
    jeesk
        24
    jeesk  
       31 天前 via Android
    要求企业 vpn ,或者 cloudflare 的零信任
    ferock
        25
    ferock  
       31 天前 via Android
    吃饭的事情,还是打铁要需自身硬。
    没有金刚钻,就应该花钱

    雇人也好,上云也好,都是解决方案,否则,这里的只字片语也不可能成为你的能力
    mejss
        26
    mejss  
       31 天前
    重要服务 做好数据存储备份
    互联网出口我目前用的华为的 av 、ips 防御
    内网服务映射到外网,按类别对待,http/s 协议禁止映射,并在防火墙上做安全策略禁止 http 通过,采用 wireguard 或者 ikev2 方式连入内网再访问,常用于 oa 、erp 之类
    其他协议的映射,通过审批流卡一卡,实在需要映射的,需要做好横向隔离,安全防护杀软系统补丁等安装更新
    byiceb
        27
    byiceb  
       31 天前
    上方案已经被否决了,那就做好备份吧
    proxytoworld
        28
    proxytoworld  
       31 天前   ❤️ 1
    半个业内人士做个回答吧
    用一台虚拟机?或者是什么其他的机器跑雷池 waf ,流量先过 waf ,内部部署 EDR ,没钱最起码跑一个 360 ?

    很多方案,但都要钱,先跑跑开源的吧,然后等着被勒索就行了,只有被打了才知道痛,才会投入
    ETiV
        29
    ETiV  
       31 天前 via iPhone
    那就不要暴露出去,反推你领导协同其他部门把所有之前暴露的端口回收掉。

    我认为你这个事情首先是一个政治(非技术)问题,其次才是技术问题。
    dfdd1811
        30
    dfdd1811  
       31 天前
    被干了都不能推动整改落实,那就不是技术问题了,不是你职责范围就别管了,是职责范围想办法免责吧…如果您真是个小兵,推动不了就算了,反而折腾出问题还得担责
    AliceFizzy
        31
    AliceFizzy  
       31 天前
    我司小规模,内网暴露公网主要就是为了 OA 之类的内部服务,我目前用的最简单效果也最好的方法就是访问 IP 白名单,只允许省内 IP 访问(因为 99%的情况都只有市内访问),以前看服务器 RDP 爆破的日志,绝大部分攻击都是国外 IP 。
    自此用了白名单,日志都干净了不少 hhh
    ala2008
        32
    ala2008  
       31 天前
    暴露了什么,正常的业务应该不会有漏洞啊
    gvdlmjwje
        33
    gvdlmjwje  
    OP
       31 天前
    @AliceFizzy 问下,只允许省内 IP 访问是怎么做到的?这个 IP 地址库从哪获取呢
    gvdlmjwje
        34
    gvdlmjwje  
    OP
       31 天前
    @wheat0r #11 反向代理 nginx 即可?
    991547436
        35
    991547436  
       31 天前
    买宝塔 waf
    gvdlmjwje
        36
    gvdlmjwje  
    OP
       31 天前
    @lzy250 公网只暴露 80/443 的话,我内网有很多应用,怎么一一对应呢?
    SchwarzeR
        38
    SchwarzeR  
       31 天前
    乍一看感觉涉及的系统太多了,光是第一步梳理各个系统对应的前后端端口关系就会很麻烦

    前置一个 nginx 之类的 gateway 做一级代理的思路正确的,但是感觉用手动挡的方式会有很大的心智负担,既然是给公司干活,觉得可以考虑去看看相关的 waf 产品借鉴一下思路,比如雷池 waf 这种虽然鸡肋但是可以提供思路的开源,当然直接买产品那肯定是你好我好大家好还好甩锅

    这种防护措施制定是个系统性工程,严格意义上来讲不光是运维的工作,涉及的起 vpn/划分 vlan 权限什么都需要全公司的配合
    waringid
        39
    waringid  
       31 天前
    1 、整理完整的安全方案,方案的内容需要给 2~3 个配置选项(按费用和安全重要程度)并给出建议的方案选项,方案要重点描述解决的问题以及该问题对业务的影响(包括对公司名声的影响例如上级通报、国内报道等,如果是国企相关)
    2 、如果上面 2 个方案都没批准的处理机制,重点要突出你所做的改善行动(描述采取了措施,但可能效果有限,突出强调在想办法解决这类安全风险)
    3 、还可以建议增加专业人员或引入专业的安全服务团队,通过服务团队想办法改变公司决策人员的想法,推动项目进展
    gvdlmjwje
        40
    gvdlmjwje  
    OP
       31 天前
    @SchwarzeR 我看下来感觉雷池 waf 还不错,老哥有使用经验吗?这个很鸡肋?
    zhangeric
        41
    zhangeric  
       31 天前
    感觉你们公司业务啥的都是公司自己人在用,不对公众开放,这个应该上 vpn 而不是把服务暴露在公网上.
    gvdlmjwje
        42
    gvdlmjwje  
    OP
       31 天前
    @zhangeric 也不是,有些 QMS SRM 什么的系统还要给合作伙伴用- -|||
    SchwarzeR
        43
    SchwarzeR  
       31 天前
    @gvdlmjwje 我自己的小服务器放了一个开源版布着玩的,跑团队的周报管理/git 仓库,感觉真要靠它来挡攻击也就图一乐,企业级防护光靠这个恐怕也就比没有好那么一点。
    不过拉一个放上去配好了能证明你干活了,以后再出问题就是:我干了啊,你们不批钱买服务我也很难办
    Ipsum
        44
    Ipsum  
       31 天前 via Android
    @gvdlmjwje 域名分流,path 分流都可以,这不是个问题
    guanzhangzhang
        45
    guanzhangzhang  
       31 天前
    先梳理下哪些核心数据是最终的,有无备份恢复方案,走一遍备份的恢复看看可以用不,然后自动备份的机器是否足够安全。
    然后再考虑怎么把业务安全整起来
    NGGTI
        46
    NGGTI  
       31 天前 via iPhone
    别买设备了,不是设备不够的问题了,从管理上下手,没必要的收拢到内网。招个搞渗透测试的,做做渗透。现在开源的产品已经很好用了。
    netblue
        47
    netblue  
       31 天前
    在公网开一个端口,frp 内网穿透到内网,客户端采用 STCP 访问,相当于客户端必需运行 frpc 程序且有密码才能访问。
    Chrisone
        48
    Chrisone  
       31 天前
    等保来一下基本就知道差距了
    wheat0r
        49
    wheat0r  
       31 天前
    @gvdlmjwje #34 用什么做反向代理看你心情,这台服务器记得要加固
    defunct9
        50
    defunct9  
       31 天前
    开 ssh ,让我上去看看先
    magicfield
        51
    magicfield  
       31 天前
    如果只是自己人用,别开公网了,用 VPN 比较安全
    jenson47
        52
    jenson47  
       31 天前
    为什么要用公网?
    1. 如果只是内部人员使用,不开就不开
    2. 必须开的话,可以加一些低成本防护措施,比如上面所说的免费的 waf ,或者在 nginx 中加入 base auth [密码复杂度设高点] 限制,固定入口 [难免有人被钓鱼] ,安全培训,也可以限制 ip 区域
    如果程序可以调整的话, 调整用户密码复杂度,多因子认证等等
    lzy250
        53
    lzy250  
       31 天前
    @gvdlmjwje nginx 转发, 满足不了吗
    gvdlmjwje
        54
    gvdlmjwje  
    OP
       31 天前
    @defunct9 哈哈 你每次都这么说
    KIMI360
        55
    KIMI360  
       30 天前
    有些钱该交得交,交了保平安。万一被攻破,该买的防护我都买了。问题就是服务提供商的了,这都防不住难道怪我
    waringid
        56
    waringid  
       30 天前
    @gvdlmjwje 对比几个开源的 WAF 项目,这个应该是同时兼顾体验、性能和检测效果的。他的内核还是使用 Nginx 代理转发,安装和 UI 界面设计的不错。如果业务场景不复杂并且流量一般的情况开源免费版本就够用了(它也提供商业版和企业版)
    wolffcat
        57
    wolffcat  
       30 天前 via Android
    零信任(高级版的反代) easyconnect 想自己搞也行 vpn 服务嘛
    sampeng
        58
    sampeng  
       30 天前
    一直没看到你是解释给客户还是公司内部用呢。内部最简单,一个 vpn 解忧愁。
    如果是给客户。你好歹有个中介服务器反代只暴露 443 和 80 吧。。可以解决一大堆安全漏洞。攻击方向就只剩 nginx/f5 和你公司自身程序两个路子了,最少半桶水的脚本战士可以拦一大堆了。
    另外这是老板提的还是你自己琢磨的?老板提的该买设备买设备。自己琢磨的。那就琢磨呗。大概率不会给你资源干。没啥好纠结的。。又不是你自己的东西,嘟囔抱怨两句完事
    gvdlmjwje
        59
    gvdlmjwje  
    OP
       30 天前
    @waringid #56 感谢,就决定用这个了
    gvdlmjwje
        60
    gvdlmjwje  
    OP
       30 天前
    @sampeng 内部和外部供应商都要用
    waringid
        61
    waringid  
       30 天前
    @gvdlmjwje 你可以参考这个部署 https://wiki.waringid.me/pages/viewpage.action?pageId=3211289 出现异常拦截的情况增加白名单也方便
    sampeng
        62
    sampeng  
       30 天前
    @gvdlmjwje 供应商?那就简单了啊。。vpn 完事。供应商也是 vpn 进来的。一个路由器就搞定了。
    sampeng
        63
    sampeng  
       30 天前
    但凡不用 vpn 管理公司出口服务的。WAF 最多只能做到事后发现和预警,很难做到完美的防御。VPN 是一劳永逸的甩锅锅方式。北京还强一点,各个区的网警会定期扫描你的出口,有漏洞就请你去喝茶。
    gvdlmjwje
        64
    gvdlmjwje  
    OP
       29 天前
    @waringid #61 老哥你这个博客好强啊,已收藏
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2625 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 10:24 · PVG 18:24 · LAX 02:24 · JFK 05:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.