一定要上高级的硬件防火墙，不然都是没保障的。 还要买额外的安保服务。这个钱不能省，毕竟网络安全是国家安全的重要组成部分，没有网络安全就没有国家安全

外网防火墙，内网三层交换做 acl 策略。

如果只是防内网其他主机的话其实挺简单，交换机开 ACL ，端口绑客户端 Mac 。问题是这些用 SMB 客户端的安全怎么保证，物理安全怎么保证。

emmm 仅仅防 arp 攻击的话，买个好一点的管理交换机把 arp 防护打开就好了。

https://support.huawei.com/enterprise/zh/doc/EDOC1100033978/780a867f#dc_cfg_ARP_SEC_0020


用硬件防火墙是不是有点杀鸡用牛刀。

NAS 开个 wireguard ，每个机器装 wireguard 只允许 wireguard 访问 SMB

对抗加密勒索的办法就是冷备份

看你这个低成本保证安全怎么理解了。
常规理解：满足最低要求的前提下保障。
田园理解：找个开源/免费的方案，最大限度的保障安全。

外网 ros+路由+策略
内网 ros+mac 地址绑定+策略

前提是正版，因为要一直更新安全补丁，ros 是被全世界攻击最多的路由系统。

防止泄漏只要有外网就无解，保密口头禅：上网不涉密，涉密不上网。只要内网机有联网，被黑后就无法保证数据安全

员工网络安全培训。
所有的防护都是在没内鬼的情况下。
一般情况是（有内鬼）：
1 、某员工带了个有病毒的 u 盘，插入公司电脑拷贝东西，然后还拿去给同事电脑粘贴。
2 、某员工主动下载了某邮件里面的文件，还把同事叫来说我下载这文件怎么打不开，我发你，你那边打开试试，是不是我电脑软件版本太低。