前言

在大多数互联网公司，安全建设的主要精力都投入在业务网安全上，办公网往往成为短板。为避免教科书式的理论说教，本文以攻防的角度，以中型互联网公司为例，讨论下办公网安全建设。这里的办公网是狭义的办公网，仅包括员工办公的网络区域，支撑办公的erp、邮件等系统不包含在内。

办公网渗透思路

办公网通常是黑客入侵的一大突破口，究其原因我认为主要为：

办公网安全投入相对业务网不足，入侵成本较低

办公网的主体是人，人有七情六欲，上网行为千奇百怪，攻击面大于业务网

业务网往往信赖办公网，可以成为战略迂回进攻业务网的绝好跳板

研发、运营等重要资料往往高度集中在办公终端，数据价值甚至超过业务网

渗透办公网的思路很多，以下是一个举例：

渗透办公网的思路举例

从入口的角度讲，恶意链接、文件是常见手段。

从黑客行为讲，主要分为：

水平横向渗透

纵向提权

从黑客目的角度讲，主要分为：

以办公网为跳板攻击业务网

窃取HR、财务、高管等手中的重要资料

网络安全

下图为常见的办公网拓扑结构

办公网拓扑举例

防火墙

防火墙作为抵御攻击的第一道防护，责任重大，但是他又肩负着NAT上网的重要职责，性能和稳定性又要求很高。我认为从纯安全角度讲，选择防火墙时需要考虑下列几个功能：

恶意网站过滤

恶意文件过滤

年gartner企业网络防火墙魔力象限

IPS/IDS

IPS/IDS在这里有个非常重要的作用就是识别使用Nday的软件尤其是浏览器、办公网套件漏洞攻击员工的行为。有很多厂商宣称自己的IPS/IDS可以识别0day，我个人认为目前比较成熟的0day识别技术主要依赖沙箱和机器学习，真要识别0day还是需要专业的APT设备来做。

年gartner入侵检测与防御魔力象限

邮件安全网关

这个话题内容太多，可以单独写一篇，本文先省略。

APT设备

APT设备通过分析邮件、流量中的文件和流量行为识别APT行为，我知道国外fireeye、趋势、pa、mcafee等都做这块在。

安全隔离

安全隔离的主要目的有两个：

按需提供网络访问权限，避免权限滥用

减小黑客在办公网横向渗透以及纵向提权的攻击面，提高攻击成本

出于这两个目的，所以安全隔离通常和准入或者vlan划分结合在一起，不同的地方主要在于准入可以根据用户身份动态调整网络权限，vlan划分相对不够灵活。

网络权限隔离

上图是一个简单的分类，其中有几类同学需要重点