别再给自建 ERP/OA 做公网映射了:用万联WANFLOW云网关零信任组网,让内网对扫描器零响应

一篇能直接抄作业的实操贴。讲清楚公网映射的真实风险量级、SD-WAN 零信任组网的工作原理、网段怎么规划、设备怎么开局、旧映射怎么安全下线。

一、先看一组真实的暴露面数据

很多人对"公网映射有多危险"没有量化概念,我们先用数据建立认知。

把常见服务端口暴露到公网,被自动化扫描器命中的时间窗口大致是这样(基于安全行业蜜罐观测的普遍规律,非精确值,供建立量级概念):

暴露的服务 端口 首次被扫描命中 典型攻击手法 远程桌面 RDP 3389 分钟级 凭据填充、BlueKeep 类漏洞 SQL Server 1433 小时级 sa 弱口令暴破、提权 SMB 文件共享 445 分钟级 EternalBlue、勒索加密 MySQL 3306 小时级 root 暴破 各类 OA/Web 后台 80/8080/443 小时到天级 反序列化、文件上传、未授权访问 NAS 管理界面 5000/5001 等 天级 固件漏洞、默认凭据 关键认知:改端口和设强密码,都不解决根本问题。

扫描器是全端口扫描 + 服务指纹识别。你把 3389 改成 33890,Nmap 的 -sV 一跑,服务指纹照样把它识别成 RDP:

nmap -p- -sV your.public.ip
# 输出节选
33890/tcp open  ms-wbt-server  Microsoft Terminal Services

也就是说,改端口只是换了门牌号,服务指纹这张"脸"没变。强密码同理,它防得住暴破,防不住 Nday/0day——而自建 ERP、老旧 OA 恰恰是最不敢随便打补丁的系统。

你也可以自己验证暴露面。在 Shodan 或 FOFA 的搜索框里输入你的公网 IP,看看自己被测绘成了什么样:

# FOFA 语法示例
ip="你的公网IP"
# 会列出你所有开放端口、服务版本、甚至 SSL 证书里的域名信息

如果搜出来一堆开放端口和版本号,那就是黑客眼里的你。

二、公网映射 / 传统 VPN / SD-WAN 组网,本质区别在哪

三种方案的根本差异,在于"入站端口是否暴露"和"信任模型"。

方案 A:公网端口映射 / DDNS

[公网攻击者] ──扫描──> [出口路由器:映射的端口] ──> [内网服务器]
                          ↑ 这里有监听中的入站端口,永远在线等连接

问题:出口设备上存在长期监听的入站端口,任何人都能连。DDNS 还把动态 IP 绑成固定域名,等于给攻击者一个永久追踪标签。信任模型是"先连上,谁来都先握手"。

方案 B:传统软件 VPN(IPSec / SSL VPN)

[员工客户端] ──拨号──> [VPN 网关:监听端口] ──> [内网]
                          ↑ 网关端口仍暴露在公网

改进:业务本身不再直接暴露,但 VPN 网关的端口(IKE 的 UDP 500/4500、SSL VPN 的 443)仍监听在公网上,仍是攻击目标(主流 VPN 设备这两年的高危漏洞没少出)。运维上还有三个老大难:

• 隧道数量爆炸:站点全互联,隧道数按 N×(N-1)/2 增长。5 个站点 10 条,8 个站点 28 条,手工维护到崩溃。
• 配置门槛高:IKE 阶段一/二参数、PSK、感兴趣流、NAT-T,两端都要懂的人对着配。分公司没 IT 就抓瞎。
• 体验割裂:员工要手动点"连接 VPN",忘了点就报障;打印机、考勤机这类哑终端根本装不了客户端。

方案 C:万联云网关 + SD-WAN(零信任组网)

[万联云网关·总部] <══加密隧道══> [万联云网关·分公司]
        ↑ 两端由云端管控台编排,本地无需开放任何入站端口
[万联云管控台] ──下发配置/策略/拓扑可视化──> 所有云网关 + 员工客户端

核心区别:各站点的万联云网关由云端统一编排,建立站点间加密隧道,本地无需在防火墙上开放任何入站监听端口、无需做端口映射。 扫描器扫过来,看不到开放端口、看不到业务服务响应——你的自建系统在公网上"隐形"了。

信任模型从"先连上再说",变成零信任的基于身份认证 + 应用级权限控制:不是默认信任进入网络的任何人,而是按身份和策略,只授权到具体应用。攻击者无法攻击一个在公网上根本发现不了、且没有授权就进不去的目标。

注:万联企业组网方案明确包含"零信任安全(基于身份的访问控制、端到端加密)"与"智能路由"能力,符合等保 2.0、ISO27001 等合规要求。

三、组网的关键技术点(网管真正关心的)

1. 为什么"不开入站端口"还能互通

万联云网关采用 SD-WAN 软件定义方式组网:各站点网关主动向云端管控台注册,由管控台编排站点之间的加密隧道,流量在隧道内端到端加密传输。对你的出口防火墙而言,只需放行网关的出站连接,不需要配置任何入站放行规则(DNAT / 端口映射全部可以删除)。这是它能"隐形"的根本——公网侧没有可供扫描器握手的监听端口。

2. 网段规划——这是最容易翻车的地方

多站点组网,最大的坑是网段冲突。如果总部和分公司都用默认的 192.168.1.0/24,组网后路由直接打架。

可执行的规划方法,按站点划分私网段:

总部       10.10.0.0/16     →  细分:10.10.1.0/24(服务器),10.10.10.0/24(办公)
分公司A    10.20.0.0/16     →  10.20.10.0/24(办公)
分公司B    10.30.0.0/16
分公司C    10.40.0.0/16
门店/海外  10.50.0.0/16     →  每点一个 /24,10.50.1.0/24、10.50.2.0/24 ...

原则:新建站点一律用规划好的新网段,绝不沿用设备出厂默认的 192.168.x。 老站点撞段了,要么改 LAN 段(影响大),要么在网关上做 NAT 映射过渡(影响小,推荐先用这个)。

3. 链路可靠性——多链路与自动切换

万联 SD-WAN 支持利用互联网、4G/5G 等多种链路智能选路,这是相比单条 VPN 隧道的一大优势:

• 主用宽带 + 备用宽带 + 4G/5G,做主备或聚合;
• AI 智能路由按延迟/丢包探测自动选最优路径,主链路劣化自动切换;
• 关键应用(如 ERP)可指定走质量最好的链路。

验证切换是否真无感,访问 ERP 时持续 ping 内网 IP,再物理拔掉主用宽带观察丢包:

ping -t 10.10.1.100      # Windows,持续 ping 总部 ERP 服务器
# 理想情况:丢几个包后自动恢复,业务长连接不中断

万联企业组网对外标称网络可用性 99.99%,物流类客户案例做到故障 <3s 恢复——多链路冗余是这个数字的底气。

4. 访问控制——把零信任落到策略上

隐身只是第一步,真正的零信任要做最小权限 + 应用级授权。按站点/身份下发策略,典型示例:

# 策略示例(表达控制逻辑,具体在管控台图形化配置)
allow  src=分公司A(10.20.0.0/16)  dst=10.10.1.100  port=8080   # 只允许访问 ERP
allow  src=分公司A               dst=10.10.1.105  port=445    # 允许访问指定 NAS
deny   src=分公司A               dst=10.10.20.0/24            # 禁止访问财务网段
deny   any any                                                # 默认拒绝

要点:默认拒绝(default deny),只放行业务必需的最小集合。 这样即使分公司某台机器中招,横向移动也会在策略边界被卡死,不会一台沦陷、全网遭殃。

四、三种接入路径:总部、固定分支、移动员工

万联这套方案的接入方式不止一种,按场景对号入座:

① 固定站点(分公司/门店/工厂)——云网关硬件直连

部署一台万联云网关(中小站点用 W1000A,带 WiFi 需求用 W1000A-WiFi,大型总部/数据中心用机架式 W2000),员工电脑插上 LAN 口或连 WiFi,直接浏览器输内网 IP(如 http://10.10.1.100:8080)访问 ERP,无需安装任何客户端、无需手动点"连接"。打印机、考勤机这类哑终端也能原生接入互访。

② 移动办公/出差员工——全平台客户端扫码即用

装不了硬件网关的场景,用万联全平台原生客户端(Windows / Mac / iOS / Android / Linux),一个账号扫码登录,即可安全接入企业内网,按身份做应用级权限控制。出差、居家的员工不用再忍受传统 VPN 频繁断连。

③ 跨境/出海场景——叠加全球骨干

如果有海外分支、海外工厂或跨境业务,万联在 200+ 地区有 POP 节点,云网关可叠加全球加速专线,把海外站点并入同一张内网,跨境访问 ERP / 视频会议体验和本地局域网相近。国内总分支为主、海外站点为辅,用的是同一套管控台、同一张拓扑图。

五、设备开局:零配置(ZTP)上线流程

分公司没有 IT 也能装,这是万联云网关相比传统隧道的体验代差。官网标称"5 分钟即接即用、自动注册到云端、无需现场工程师"。流程:

总部 IT 侧(出差前在管控台做完):

1. 在云管控台预录入设备序列号(SN);
2. 给该站点绑定配置:LAN 网段、要互通的站点、访问策略、链路类型;
3. 快递设备到分公司。

分公司侧(前台/任意非技术人员操作):

1. 接电源 → WAN 口插宽带网线 → 开机;
2. 设备自动上网 → 凭 SN 向管控台注册 → 拉取配置 → 与总部网关建立加密隧道。

总部 IT 侧验证(全程不出差):

1. 管控台看到该站点"在线"、隧道"已建立";
2. 让分公司同事插一台电脑到 LAN 口,浏览器输 http://10.10.1.100:8080 验证能打开 ERP;
3. 验证打印机、考勤机等哑终端互访正常。

新开一个站点的周期,从"出差两天调隧道"压缩到"当天寄到、当天上线"。

六、旧公网映射的安全下线(这一步最多人漏)

上了新方案,旧映射不删等于白干——新房装了防盗门,老房后门还开着。逐项关闭并自检:

第 1 步:盘点现有映射 登录出口路由器/防火墙,导出所有 DNAT / 端口转发 / 虚拟服务器规则,逐条对应到内网服务。

第 2 步:确认新通路已就绪 确保对应业务已能通过万联云网关的内网通路访问(第五步已验证),再动手删映射。

第 3 步:逐条删除映射,并停用 DDNS

# 思路(具体命令看你的设备,以下为通用 iptables 示意)
iptables -t nat -L PREROUTING -n --line-numbers   # 查看现有 DNAT 规则
iptables -t nat -D PREROUTING <行号>               # 按行号删除某条端口映射

同时在 DDNS 服务商处停用域名解析或解绑动态更新。

第 4 步:公网自检——确认攻击面归零

从公司外部(手机热点或公网 VPS)对原公网 IP 做一次全端口扫描:

nmap -Pn -p- your.public.ip
# 理想结果:All 65535 scanned ports are in ignored states (filtered/closed)
# 即没有任何 open 端口

把"扫描前 vs 扫描后"的对比结果留档——这是你向领导汇报安全整改成果最直观的一张图:从"满屏 open"到"全部 filtered"。

七、选型清单:让厂商正面回答这 6 个问题

谈方案时把这几条甩过去,能快速筛掉不靠谱的:

1. 是否真·零入站端口? 让对方明确组网"无需在你侧开放入站端口或做映射"。
2. 加密强度与合规? 是否端到端加密、是否满足等保 2.0 / ISO27001(万联官网明确支持)。
3. 接入路径是否齐全? 固定站点硬件网关、移动员工客户端、跨境节点是否一套打通。
4. 零配置开局完整度? SN 预注册、配置模板、固件云端升级、自动注册是否齐全。
5. 多链路与切换? 双宽带 / 4G/5G 备份,切换时长连接是否中断,可用性 SLA 是多少。
6. 设备选型是否对得上规模? 中小分支 / WiFi 场景 / 大型总部各用什么型号、并发与吞吐够不够。

八、一句话收尾

公网映射的安全加固,是在不断给一扇注定会被敲打的门加锁;零信任组网,是让这扇门从互联网上直接消失。

你无法保护你看不见的东西,但黑客同样无法攻击他看不见的东西。

从盘点映射到公网自检归零,这套流程大概一个月内可落地。少一次凌晨救火,值这个项目。

觉得有用,转发给还在用端口映射的同行。文中网段、命令、策略示例可直接套用,具体语法按你的设备和管控台微调即可。需要针对自家拓扑出方案,可联系万联WANFLOW做 7 天免费试用,真实业务验证后再付费。