你们是开发机还是普通的办公机？

那就别用 smb ，用 webDAV ，就可以了。 不过如果被黑的主机保存了密码那也没用啊。

交换机一个端口一个 VLAN, VLAN 之间禁止通信, VLAN 只能跟 NAS 通信(可以交换机 ACL, 也可以用防火墙);
主机接入采取静态接入, 交换机禁止学习 MAC, 一个物理端口只绑定一台设备;
交换机 Console 口在配置完登录账号和密码后, 拆机剪断 Console 口跟主板的连线;
交换机配置采用专用 IP 和主机, 配置用主机锁你家领导的保险箱里面;
配置专用主机全盘加密, BIOS 加密, 开机需要使用密钥 U 盘, U 盘给你所在公司的老板;
不用的交换机物理端口全用钳子剪断然后内部接高压电, 谁接谁电脑网卡报废.
(VLAN 间访问和配置交换机也可以使用下面的防火墙/nas 的操作)

至于 NAS 使用, 需要什么文件或者上传什么文件先申请, 需要什么文件, 需要多长时间, 小组组长签字, 部门领导签字, 由专人专机开访问权限, 其余时间和其他 IP 防火墙一律 deny, 申请单当天有效;  
防火墙必须去机房使用堡垒机插显示器键盘使用, 后面跟俩摄像头, 进入机房禁止携带纸币以及任何电子产品(防火墙/NAS 申请单可以带, 不能带笔), 再过一个安检门;
现场负责人必须全程在场监视操作;
操作防火墙的指令提交之后, 需要使用机房内的录音电话联系防火墙审计人员进行报告, 需要在电话内朗读相关内容, 防火墙审计人员进行复读, 确认无误后确认执行.
摄像头拍摄内容每周复查, 电话录音每周复勘. 出现违规情况, 第一次公司通报, 第二次开除.

(干活 2 分钟, 流程 7 小时)

大都是员工是用 wifi 上网的吧，带网管的 ap 可以开启客户端隔离，wifi 设备之间不能通信，只能和接入点通信，可以防止 wifi 设备的 arp 欺骗

这个需求上防火墙没啥用的吧，内网的几十台电脑大概率就是在同一个二层交换机下面，电脑和电脑之间的通讯不经过路由器，只会到交换机，更别说防火墙了。

这样的话，就在交换机上配 mac 和 ip 绑定，配 ACL 限制主机 IP 账户访问。

如果说有对外开放端口，你这里是 vpn ，如果你能确保你的 vpn 配置安全，那我觉得防火墙作用有限。从外部的攻击需要经过 vpn 隧道，防火墙没法识别 vpn 隧道内的访问流量，防火墙识别不到流量基本就废了。这里防火墙唯一的作用就是，客户端在向外部发起请求时，可以识别到，比如挖矿，连接了恶意 IP 后门，就可以根据这个能识别出来哪台客户端有问题。

@yinmin 不一定要 WiFi ，用网管交换机有线一样可以隔离。

我没记错的话 SMB 是有加密选项的
群晖里就有设置选项

SMB 如果用域管理的话，域内证书由域控制器颁发，保证不被劫持，因为认证是由域控制器完成的。（虽然有用密码缓存攻击这种操作，好多年前看到的了，不知道现在是否有效）
配合上杀毒软件和一些全线策略，也差不多了吧。

ZeroTrust 有点跑题，而且比较慢 =-=

想要绝对的安全是不可能的，安全是一整个体系，永远有替代方案，也永远不要指望一个硬件/软件/防护措施就能解决一切问题。
说回你这个需求，你们的核心资产是 NAS 里面的机密数据，相比起来你担心的这个具体风险只是众多风险的其中之一，甚至脆弱性我感觉都不是很高...建议是从对外出口侧部署一个比较便宜的防火墙（你这个流量对应的防火墙价格真的非常低），终端层面找一个免费的杀毒软件下发下去。最好所有电脑入域统一管控，同时对 NAS 以等保标准做定期的基线扫描，做好备份。
另外不知道你们要保护的核心资产是什么格式的，如果是文档图纸等文件类的话，比较建议买个终端层面的加解密软件，这样即使文件泄露或外发也无法解开，其他的管控措施就可以相对轻松一点了。

弄个蜜罐吧 最起码真有这种 ARP 或者其他的扫描行为的时候能及时发现