公司刚搬进新办公室,网络布好了,监控装上了,老板觉得万事大吉。可没过几天,财务邮箱被黑,一笔款差点转出去。一查,攻击是从公网直接打进了内部系统。问题出在哪?边界没守好。
什么是网络边界
简单说,网络边界就是你家的院墙和大门。内网是客厅卧室,外网是大街。没有围墙,谁都能推门进来翻抽屉,再好的锁也白搭。网络边界防护,就是在这堵墙上设岗放哨,决定谁能进、怎么进、进哪去。
防火墙不是摆设,得会调
很多单位装了防火墙,但规则还是出厂默认的——允许大部分流量通过。这就像大门敞开,只在门口贴张纸写着“闲人免进”。真得动手配置才行。
比如,公司用的ERP系统只允许内网访问,那就在防火墙上加一条规则:
deny tcp any any port 8080
permit tcp 192.168.10.0\/24 any port 8080意思是,除了来自192.168.10.0网段的设备,其他任何外部IP都不能访问8080端口。这样即使系统有漏洞,外网也够不着。
别忘了NAT和端口映射
有些服务必须对外提供,比如官网或远程办公系统。这时候要做端口映射,但别把整个内网服务器暴露出去。
正确做法是:只映射必要的端口。比如官网用80和443,那就只开这两个。千万别图省事做一对一NAT,把公网IP直接扔给某台内网机器,等于把钥匙交给陌生人。
入侵检测不能少
防火墙像门卫,只能看证件放行。但有些人证件是真的,进门后干坏事。这时候就得靠入侵检测系统(IDS)盯着行为。
比如有人从外部频繁尝试连接多个端口,明显是扫描行为,IDS就能告警。配合防火墙动态封IP,能拦住很多自动化攻击。
日志要有人看
不少单位的日志存了一堆,但从没人翻。就像监控录像攒了几百T,案发了才开始找。建议每周抽时间看看关键设备的访问记录,重点关注凌晨时段的异常登录、大量失败尝试。
可以设置简单的告警规则,比如单个IP十分钟内失败超过10次,自动发邮件提醒。小成本,但能发现大问题。
远程办公别乱开口子
疫情后很多人居家办公,于是开了VPN。但有些公司为了方便,允许所有员工账号直连内网。结果一个销售的弱密码被撞库,攻击者顺着VPN进了财务系统。
应该按最小权限原则分配访问权。销售只需要客户系统,就别让他能访问人事数据库。可以用VLAN隔离不同部门,再通过防火墙策略控制跨区访问。
定期做渗透测试
自己设的防线,容易有盲点。找个专业团队模拟攻击,试试能不能从外网打进内网。发现问题别慌,修掉就行。每年做一次,比出事后再补强得多。
边界防护不是一次性工程,得持续调优。网络在变,业务在变,攻击手段也在变。去年管用的策略,今年可能已经漏风了。