公司刚搬进新办公室,IT 小李忙着搭网络,路由器一插,交换机一连,WiFi 名一设,全员欢呼上网。可没过几天,财务发现邮件被偷偷转发到外网,客户资料不翼而飞。查来查去,问题出在那个没人改默认密码的无线AP上。
默认配置是“公开大门”
很多企业用的路由器、防火墙、摄像头甚至打印机,出厂时都有默认账号密码,比如 admin/admin 或 root/123456。这些信息网上随手能搜到,攻击者用自动化脚本一扫,就能批量登录。某制造厂的监控系统就是因为没改密码,被人接入内网当跳板,最终导致生产数据泄露。
开放端口不是越多越好
为了方便远程办公,有些公司开了 RDP(3389)、Telnet(23)甚至 SMB(445)端口直接暴露在公网。黑客利用永恒之蓝这类已知漏洞,几分钟就能拿下一台服务器。正确的做法是关闭非必要端口,远程访问走VPN或零信任网关。
内网≠安全区
不少人觉得“只要不连外网就安全”,其实内网横向移动才是大问题。一台员工电脑中了钓鱼邮件,如果没有做网络分段,攻击者就能顺着局域网扫描数据库、文件服务器,一路打穿。建议按部门划分VLAN,限制跨区访问。
老旧设备藏着定时炸弹
财务部那台用了八年的老服务器,系统补丁停更三年,Apache 版本存在远程执行漏洞。攻击者通过一个简单请求,就在服务器上植入挖矿程序,CPU 长期跑满还以为是“机器老化”。定期清点资产,及时淘汰或隔离无法更新的设备很关键。
配置示例:基础防火墙规则
以下是一个常见边界防火墙的规则片段,阻止不必要的入站连接:
# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许本地回环
iptables -A INPUT -i lo -j ACCEPT
# 只允许特定IP访问SSH
iptables -A INPUT -p tcp --dport 22 -s 192.168.10.0/24 -j ACCEPT
# 拒绝其他所有入站流量
iptables -A INPUT -j DROP这条规则只放行内网指定网段的SSH访问,其他外部请求一律丢弃,避免暴力破解。
员工也是防线的一环
行政小姐姐收到一封“社保补贴申领”的邮件,附件是 zip 包。一点开,整个共享盘被加密勒索。这类社工攻击每年都在升级,光靠技术不够,得定期做钓鱼演练,让员工对可疑链接保持警觉。
企业网络不是建完就高枕无忧,它像一辆车,需要日常检查、定期保养。一个弱密码、一个未关的端口、一次忽略的更新,都可能成为突破口。别等出事才想起修墙,漏洞藏在细节里。