企业里面暴露内网服务到公网怎么做安全？

公司有很多应用在出口防火墙上面做了端口转发暴露在公网（来的时候就这样了），没有 WAF 、反代、DMZ 、NGFW ，只有 EDR 和 SEP 装在服务器上，这是前提。

然后去年中过一次勒索病毒，今年被抽中做渗透测试的蓝方，两次都暴露了很多网络安全问题；上面的 EDR 就是去年中勒索后批的，防火墙很老的 juniper ，这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了，只能问问老哥们还有啥招了？

PS：坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过，有没有人指点一下具体怎么做的？ THX

那就别开放公网，谁要用接入内网来用

补充一下：

请认真核查你安装的应用，措施再严密，如果你装上有漏洞的应用，例如 PHP 某 CMS ，shell 都被拿了。

@Kinnice 还是第一次听说这个。

社区版本的雷池，够防大部分 web 类型的攻击了。

服务器放在内部安全域，在 DMZ 域放置反向代理。
出口 NAT 只放 443 、80 ，防火墙做安全域策略，确保外部到内部不通，外部到 DMZ 的策略细到端口，DMZ 到内部的策略也要细到端口，有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。

你这是整体从根基上就难处理啊，想做好就要重新设计了，我觉得不是你能决定得了的。
建议保持现状，在业务可用的前提下尽可能在防火墙上收缩访问控制，包括但不限于端口、源地址、协议等。

公网只暴露 80/443 ，nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。

不是专业的，只暴露业务端口不知道行不行，减少被渗透的风险

企业  DMZ 跟路由器上的 DMZ 不一样，不允许主动访问内网也不能上外网。
做好网络隔离、使用低权限、容器或者虚拟机部署，避免入侵影响到其他应用。

你是小兵只管上报风险和建议处理方案，尽职免责。没人没钱搞毛，谁脑袋大谁背锅