二三十台电脑的小型企业内网，如何低成本保证内网通信安全（避免主机被黑后 ARP 窃取其它主机通信数据等）（除 VPN 外没有直接暴露公网的服务）一定要上硬件防火墙吗？

装杀毒软件不就行了.例如 360 企业版啥的

不想折腾就买个二手的硬件防火墙吧

关闭远程桌面，使用强密码，上次永恒之蓝把前司几个部门电脑和服务器全加密了。早上上班眼睁睁看着电脑一堆脚本乱跑，趋势杀毒被绕过，深信服也没起作用，各种硬件防火墙起效甚微。最后网警来了也没用，花钱解决了。

网络防火墙还是病毒防火墙？
网络防火墙只是限制 A 网段访问 B 网段，或者限制 B 网段访问 A 网段。
并不能满足你的需求

今天摸鱼出来的论文不就是解决这种问题的吗？

Smb 配置加密传输，拒绝不支持加密的客户端连接就行了

https://www.cloudflare.com/plans/zero-trust-services/ 三十人三百块钱，很低成本了吧

@alex8 smb 没有验证服务端的机制，ARP 欺骗后可以中间人攻击
@ferock 病毒防火墙好像也只是防止 ARP 表后面改变，如果一开始 ARP 表就被污染好像无效
@yyzh

@0o0O0o0O0o 这个明显解决不了内网问题

@drymonfidelia 你内网环境下所有设备都有安全防护程序那哪来的攻击?反倒是如果你的内网环境是一直允许不带安全程序的设备接入的话那你还不如担心其他的安全隐患

@yyzh 显然设备上安全防护程序并不能有效阻止攻击，像 #3 说的“ 趋势杀毒被绕过，深信服也没起作用”，只能在网络上层面阻止攻击

@yyzh 另外我微信朋友圈都有卖免杀服务的，他宣传 100%过 360 、火绒、WD 、卡巴检测

#9 明显吗？我没觉得很明显。所以你的内网是完全离线的吗？

这个标题和内容，零信任就完全是为之诞生的

@0o0O0o0O0o 零信任解决的是外网访问内网的问题，我要解决内网访问内网流量被劫持的问题

没有人提 802.1X?

@drymonfidelia #14

> 零信任解决的是外网访问内网的问题

这误解大了，要是还区分内外网，零信任还谈什么零。

随便找一家零信任产品的介绍都可以知道你这理解是错的

> Zero Trust 安全是一种 IT 安全模型，要求试图访问专用网络上资源的每一个人和每一台设备（无论位于网络边界之内还是之外）都必须进行严格的身份验证

> 零信任是一种设计安全防护架构的方法，它的核心思路是：默认情况下，所有交互都是不可信的。这与传统的架构相反，后者可能会根据通信是否始于防火墙内部来判断是否可信。具体而言，零信任力求弥合依赖隐式信任模型和一次性身份验证的安全防护架构之间的缺口。

> 零信任的網路資安徹底顛覆了舊的典範，網路資安再也不是靠著細分的網段或是企業網路邊境來維護安全。信任與否，將不再根據連線或資產是否為企業或使用者所擁有來判斷。此外，也不再根據實體位置或網路位置 (也就是位於網際網路或區域網路) 來判斷。零信任的方法是以個別的資源、使用者和資產本身為主體，而不是看它們的擁有者或所在位置。每位使用者在存取企業的每項資源之前，都必須個別通過認證。其終極目標就是：對於任何網路元素，在通過認證之前，都應保持零信任的態度。

@1423 没用，但凡他那个 NAS 支持 SMB 1.0 之外的什么东西也不会只支持 SMB 1.0 ......
可能数据太多不想换 NAS 换硬盘了吧
难道要给 NAS 写个反代？

你们是开发机还是普通的办公机？

那就别用 smb ，用 webDAV ，就可以了。 不过如果被黑的主机保存了密码那也没用啊。

@huaweigg 所有办公电脑（大部分都是笔记本）全都接入了同一个内网

@serafin NAS 有权限控制

交换机一个端口一个 VLAN, VLAN 之间禁止通信, VLAN 只能跟 NAS 通信(可以交换机 ACL, 也可以用防火墙);
主机接入采取静态接入, 交换机禁止学习 MAC, 一个物理端口只绑定一台设备;
交换机 Console 口在配置完登录账号和密码后, 拆机剪断 Console 口跟主板的连线;
交换机配置采用专用 IP 和主机, 配置用主机锁你家领导的保险箱里面;
配置专用主机全盘加密, BIOS 加密, 开机需要使用密钥 U 盘, U 盘给你所在公司的老板;
不用的交换机物理端口全用钳子剪断然后内部接高压电, 谁接谁电脑网卡报废.
(VLAN 间访问和配置交换机也可以使用下面的防火墙/nas 的操作)

至于 NAS 使用, 需要什么文件或者上传什么文件先申请, 需要什么文件, 需要多长时间, 小组组长签字, 部门领导签字, 由专人专机开访问权限, 其余时间和其他 IP 防火墙一律 deny, 申请单当天有效;
防火墙必须去机房使用堡垒机插显示器键盘使用, 后面跟俩摄像头, 进入机房禁止携带纸币以及任何电子产品(防火墙/NAS 申请单可以带, 不能带笔), 再过一个安检门;
现场负责人必须全程在场监视操作;
操作防火墙的指令提交之后, 需要使用机房内的录音电话联系防火墙审计人员进行报告, 需要在电话内朗读相关内容, 防火墙审计人员进行复读, 确认无误后确认执行.
摄像头拍摄内容每周复查, 电话录音每周复勘. 出现违规情况, 第一次公司通报, 第二次开除.

(干活 2 分钟, 流程 7 小时)

大都是员工是用 wifi 上网的吧，带网管的 ap 可以开启客户端隔离，wifi 设备之间不能通信，只能和接入点通信，可以防止 wifi 设备的 arp 欺骗

这个需求上防火墙没啥用的吧，内网的几十台电脑大概率就是在同一个二层交换机下面，电脑和电脑之间的通讯不经过路由器，只会到交换机，更别说防火墙了。

这样的话，就在交换机上配 mac 和 ip 绑定，配 ACL 限制主机 IP 账户访问。

如果说有对外开放端口，你这里是 vpn ，如果你能确保你的 vpn 配置安全，那我觉得防火墙作用有限。从外部的攻击需要经过 vpn 隧道，防火墙没法识别 vpn 隧道内的访问流量，防火墙识别不到流量基本就废了。这里防火墙唯一的作用就是，客户端在向外部发起请求时，可以识别到，比如挖矿，连接了恶意 IP 后门，就可以根据这个能识别出来哪台客户端有问题。

@yinmin 不一定要 WiFi ，用网管交换机有线一样可以隔离。

我没记错的话 SMB 是有加密选项的
群晖里就有设置选项

SMB 如果用域管理的话，域内证书由域控制器颁发，保证不被劫持，因为认证是由域控制器完成的。（虽然有用密码缓存攻击这种操作，好多年前看到的了，不知道现在是否有效）
配合上杀毒软件和一些全线策略，也差不多了吧。

ZeroTrust 有点跑题，而且比较慢 =-=

@sunnysab #27 没觉得跑题，你仔细说说。至于慢，有那种自己部署的产品，但我不了解。但这里讨论的是这个需求到底可不可以用零信任这个筐来装，所以性能其实不是这里的问题。其实楼上提到的很多思路不正是零信任的雏形么

想要绝对的安全是不可能的，安全是一整个体系，永远有替代方案，也永远不要指望一个硬件/软件/防护措施就能解决一切问题。
说回你这个需求，你们的核心资产是 NAS 里面的机密数据，相比起来你担心的这个具体风险只是众多风险的其中之一，甚至脆弱性我感觉都不是很高...建议是从对外出口侧部署一个比较便宜的防火墙（你这个流量对应的防火墙价格真的非常低），终端层面找一个免费的杀毒软件下发下去。最好所有电脑入域统一管控，同时对 NAS 以等保标准做定期的基线扫描，做好备份。
另外不知道你们要保护的核心资产是什么格式的，如果是文档图纸等文件类的话，比较建议买个终端层面的加解密软件，这样即使文件泄露或外发也无法解开，其他的管控措施就可以相对轻松一点了。

弄个蜜罐吧 最起码真有这种 ARP 或者其他的扫描行为的时候能及时发现

买腾讯 iOA

交换机支持二层隔离，可以防止 arp 攻击。

@0o0O0o0O0o 好吧，零信任产品也可以。

我的理解是：OP 可能有一个 NAS 和若干 PC ，通过网络上（软硬件）的一些设置可以使 PC 间不互通，现在要保证 PC 到 NAS 间的安全性，那么通过 SMB 本身的加密解决更方便。引入零信任产品，是不是需要多一台服务器对流量做中转？感觉上类似于内网挂了个 VPN ，没有必要。要说可以也确实可以...

1. arp 攻击检测由很成熟的方案了，硬件软件都有
2. 被黑之后光想着那点数据已经没用了，厉害的红队直接找域或者通过工作组横向直接把你几十台机器控了，什么加密通信都没用

人家都进了内网了还想着搞 arp 攻击吗，有点本末倒置，直接通过漏洞攻击你们的服务器或者 pc ，下发木马

有条件可以上 IPSG （需要网管交换机+电脑都是 DHCP 分配的地址）防止 IP 欺骗，安全性要求高的，可以把端口隔离也打开，没条件就在 NAS 部署个 VPN 服务，内网电脑通过 VPN 通道跟 SMB 访问，SMB3 也支持加密特性（不过新技术，支持的设备不会很多）

@BadFox 赞同零信任的方案，使用零信任架构后，就没有内网的概念了，所有设备在一个虚拟网络中，并且所有的流量都是加密的。
我用的零信任架构有本地发现和点对点连接，内网外网访问，和直接用局域网 IP 访问没有什么能感觉到的速度差异。

上 360 企业安全云，saas 化的团队版无广告卫士，支持管理员纳管。基础防护免费，增值服务丰俭由人。你的场景很合适

标准的终端安全场景，花钱买对应的软件或者服务产品就完事了，我在上家公司推过这个事情，成本其实也不是特别高，常规产品差不多几百块一个终端，如果是买断制的产品还要再花点钱买个后台控制端和对应的硬件。

功能上不用考虑太多，大家的功能都差不多，你有 ABC ，我有 BCD ，实际上真正有用的 BC 大家都一样，剩下的 A 或者 D 是厂家挣钱的部分，看需求吧~

其实真正的风险还是在于人，当时上终端安全项目主要的目的还是在于规范人的行为，后来没搞成~
人的风险我这里提一下，当时和终端安全一起提的项目还有打印监控，我上家单位因为业务性质问题，每个月打印量少的几千，多的大几万。这里面风险非常高，经常在打印机边上看到一些不该看到的东西，所以当时也提了打印监控。后来也没搞成~

开启交换机端口隔离，开启 MAC 绑定

@sunnysab 领导用的是 macOS ，好像加不了域，也能用域控认证么？

@sunnysab #33 我觉得可以去掉 OP 问题里的一部分无效信息，如 ARP 如 SMB 。我是这么看待的：这是个小公司，不会有安全专家，预算也低，所以建议买产品，而不是让 OP 招个人或者依赖于自身水平去配置

内网挂载 SMB ，并且用 caddy WEBDAV 协议，转换为开放 HTTPS 服务

防火墙对内部防御效果不大

@sunnysab 目前内网是互通的，领导最近看到了角川全内网被黑的新闻，让我们升级一下内网安全。这两天研究了一下方案，好像内网 PC 确实完全没有互通的必要，除了开发部门要访问测试服务器外其它部门都只会访问 NAS 和 NAS 上挂的打印机。目前在研究隔离方案，打算完全禁止 PC 间互访，应该能有效避免被横向。
@null2error
@proxytoworld

我们以前是严格限制每一台新电脑的 MAC ，但是最常见的内网入侵，是领导的 PC 被木马远程控制。

这其实挺难的，NAS 分不清是领导访问还是木马访问。

@0o0O0o0O0o 买产品确实是一个可行方案，不过我们内网结构看起来很简单，不知道加一个零信任会不会把问题搞复杂了

@drymonfidelia 技术关键词：安全域隔离，路由控制策略，交换机 VLAN 隔离/ACL 策略

一定要上高级的硬件防火墙，不然都是没保障的。 还要买额外的安保服务。这个钱不能省，毕竟网络安全是国家安全的重要组成部分，没有网络安全就没有国家安全

@drymonfidelia 内网阻止横向需要非常完备的 acl+告警，隔离各个网段，确保开发的 pc 和服务器别互通最好

外网防火墙，内网三层交换做 acl 策略。

如果只是防内网其他主机的话其实挺简单，交换机开 ACL ，端口绑客户端 Mac 。问题是这些用 SMB 客户端的安全怎么保证，物理安全怎么保证。

emmm 仅仅防 arp 攻击的话，买个好一点的管理交换机把 arp 防护打开就好了。

https://support.huawei.com/enterprise/zh/doc/EDOC1100033978/780a867f#dc_cfg_ARP_SEC_0020


用硬件防火墙是不是有点杀鸡用牛刀。

@kome
“ 交换机 Console 口在配置完登录账号和密码后, 拆机剪断 Console 口跟主板的连线;”

哥们有点狠啊哈哈

NAS 开个 wireguard ，每个机器装 wireguard 只允许 wireguard 访问 SMB

@sunnysab @drymonfidelia

>>https://www.cloudflare.com/plans/zero-trust-services/ 三十人三百块钱，很低成本了吧


他意思就是 nas 和客户机之间应当使用防火墙隔离开，NAS 作为安全区，通过防火墙的零信任（其实就一带权限管理的 VPN ，讲的高大上）来同一认证区分权限，实现客户机和 NAS 之间的通讯是使用加密方式。
专业的零信任还有审计功能，谁访问了什么。

这样做合理，只是扔个 cf 的零信任感觉就有点跑题哈哈。

我来扔一个 wg-easy ？在 nas 里部署即可.
然后 nas 的 iptables input 只允许 VPN 端口访问，其余端口一律拒绝。
也可以设置一个白名单 list 。

wg0 接口的 vpn 地址，在 forward 里配拒绝。
https://www.lautenbacher.io/en/lamp-en/wireguard-prohibit-communication-between-clients-client-isolation/


我是很想找一个基于 wg 的零信任方案，带一点界面配置和管理看板啥的。给不动网络的用，感觉好像还是得用防火墙系统才能很好的解决。不然 iptables 厚厚的一本，不熟悉这个的人肯定搞不定。

对抗加密勒索的办法就是冷备份

看你这个低成本保证安全怎么理解了。
常规理解：满足最低要求的前提下保障。
田园理解：找个开源/免费的方案，最大限度的保障安全。

外网 ros+路由+策略
内网 ros+mac 地址绑定+策略

前提是正版，因为要一直更新安全补丁，ros 是被全世界攻击最多的路由系统。

防止泄漏只要有外网就无解，保密口头禅：上网不涉密，涉密不上网。只要内网机有联网，被黑后就无法保证数据安全

员工网络安全培训。
所有的防护都是在没内鬼的情况下。
一般情况是（有内鬼）：
1 、某员工带了个有病毒的 u 盘，插入公司电脑拷贝东西，然后还拿去给同事电脑粘贴。
2 、某员工主动下载了某邮件里面的文件，还把同事叫来说我下载这文件怎么打不开，我发你，你那边打开试试，是不是我电脑软件版本太低。

SMB 协议无办法，你能保证 SMB 服务器不被病毒感染。
但是你不能防止员工电脑被病毒感染，然后通过 SMB 协议加密/篡改/下载你服务器上数据文件。
多备份能破解加密病毒问题。
网络审计能及时发现员工机器向外部发送公司机密文件。

全部拨号上网..

tailscale 或者自建的 headscale 方案
https://github.com/juanfont/headscale
不需要防火墙，也有足够的安全性