PTT推薦

[請益] 家用防火牆機器建置?

ch010062 發表於 2021/8/2 下午9:26:23
看板PC_Shopping標題[請益] 家用防火牆機器建置?作者
ch010062
 (faker)時間推噓24 推:24 噓:0 →:91

老實說不知道該發寬頻/儲存/防毒版/MIS板
想了一下偏家用DIY所以統整發這

[討論背景]
上半年有Q牌NAS勒索災情
最近NAS相關的FB社團也出現了S牌中獎和被大量網路攻擊的案例
所以開始思考是否要建置 實體家用防火牆 來阻擋網路攻擊/勒索
因為近期打算購入S牌NAS (DS1821+)
預計對外開PLEX/Webdav/網頁服務/SSR給在中國出差的家人翻牆

[使用環境]
網路: 中華光纖 1G/600M
路由器: Mikrotik RB4011igs+rm (只開常用port,關不用的服務,刪掉Admin,對外網域掛cloudflare proxy)
個人防毒: 卡巴斯基 家庭包

[建置評估]
若要同時啟用 IPS/IDS(入侵防護/偵測) + AV(防毒) + Web filter(網頁過濾)
想跑到Throughput 1Gb/s會非常吃效能...
畢竟我不想加了防火牆保護反而拖慢了我的1G網路速度


* 建置方案1: 實體UTM產品
如fortigate或是ZyXEL的產品
=> 若要開了IPS+AV後有1G輸出,至少要五萬以上的產品
中華雖然能租用機器可是實在太貴....因此先放棄這方案

* 建置方案2: 自組開源/免費的防火牆如pfsense或是sophos防火牆家用版,但需要有DIY的=> 組A300/X300 + Ryzen 3100/3400G的CPU + 轉接4埠網卡
效能夠用還能開ESXi
不過功耗可能會到70W
國外論壇已確認Ryzen 3100可以跑滿sophos防火牆家用版 1G防護

=> 對岸一萬上下的x86工控主機(研凌N18),CPU只有I家行動版 i5 8250u i7 8550U
硬體整合的小電腦,功耗極低15W而已,但效能能否足夠跑滿1G防護很懷疑...

* 建置方案3: 中華電信的防駭守門員服務
最近接到電銷說一個月60問我要不要加購
但網路上找不到什麼案例分享
很懷疑這東西的實際防駭能力 ?
就怕想上的網站反而不能上

不知道有沒有家用1G光纖的用戶有家用防火牆低成本建置的案例
我發現1G的防火牆硬體需求跟500/300M實在差太多了
目前還打不定主意到底該如何建置
預算希望在15000以下搞定
不然就靠Ros和中華防駭方案佛系防護了...
-----
Sent from JPTT on my iPhone

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.184.72.143 (臺灣)
PTT 網址

fonzae 08/02 21:28去撿台二手forti,然後買授權

※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:28:34

fonzae 08/02 21:28個人認為這是最便宜的方案

※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:29:20

fonzae 08/02 21:29然後有一個問題只要是開防護都會吃

fonzae 08/02 21:29硬體防火牆效能,所以頻寬會下降

fonzae 08/02 21:29除非你設的規則不納入UTM

※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:30:25

ch010062 08/02 21:32個人是希望防火牆放在小烏龜和路由

ch010062 08/02 21:32中間走通透模式

ch010062 08/02 21:32這樣比較不影響原本的網路配置

creepy 08/02 21:49中古fortigate 兩三千打死

ch010062 08/02 21:54回樓上那價位的我看過了,開了IPS和

ch010062 08/02 21:54Av速度剩1~200M

creepy 08/02 21:55那就要買....6000左右的...

creepy 08/02 21:56IPS有沒有用...覺得好像沒感覺

ch010062 08/02 21:57網拍高階二手的機子,便宜的大都授

ch010062 08/02 21:57權也到期了,無法更新資料庫所以先

ch010062 08/02 21:58放棄...

creepy 08/02 21:58NAS用vpn方式分享 撥進自家網路再讀

creepy 08/02 21:58我自己只用便宜的forti跑vpn就夠了

eric00169 08/02 21:58pfsense你直接拿NUC就可以跑了

eric00169 08/02 21:59pfsense上下限很高 你的需求不用高

creepy 08/02 21:59有要跑對外服務才比較需要高階機器

Euphokumiko 08/02 22:00CF免費版只forward http request

ch010062 08/02 22:01考慮到TLS加解密還有網卡相容性,也

ch010062 08/02 22:01是有想過NUC,先列入比較清單

eric00169 08/02 22:02你如果用pfsense也可以考慮找雙網孔

eric00169 08/02 22:03一個接小烏龜一個接內部

eric00169 08/02 22:03然後搭配openvpn+Freeradius直接進

eric00169 08/02 22:03內網就好了 可以省去不少麻煩

ch010062 08/02 22:10預計NAS不直接對外只開https服務,vp

ch010062 08/02 22:10n翻牆/管理/roon

ch010062 08/02 22:13看到不少dsm被try的案例,覺得可怕

fonzae 08/02 22:14VPN我都自建憑證,上面radius也是

Koibito 08/02 22:26Unifi dream machine pro也許可以

Koibito 08/02 22:26看看

selfhu 08/02 22:32出差是多久啊?短期的話直接漫遊就

selfhu 08/02 22:32好了

ch010062 08/02 22:48回樓上,是派駐所以還是得有個穩定t

ch010062 08/02 22:48ls梯子

sppmg 08/02 22:56要pc的話考慮 pi4?

gameguy 08/02 23:00中華電信企業用 先進防火牆服務還不

gameguy 08/02 23:00錯,可以考慮

※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 23:03:54

asdfghjklasd 08/02 23:15我用 Fortigate & CP

lovespre 08/03 00:24forti 50E夠你用了,除非你的時間

lovespre 08/03 00:25多到不知道要幹嘛整天來建置除錯

※ 編輯: ch010062 (111.184.72.143 臺灣), 08/03/2021 00:27:47

ch010062 08/03 00:29forti 50E過濾後速度太慢了...不然

ch010062 08/03 00:29二手簡單就搞定

ch010062 : 不要說1g,300M都沒 https://i.imgur.com/sTEwy7M.jpg [m111.184.72.143 08/03 00:35
圖 家用防火牆機器建置?
s ※ 編輯: ch010062 (111.184.72.143 臺灣), 08/03/2021 00:36:28

cs8425 08/03 00:50pi4別鬧 純NAT還行 log量多就卡IO

cs8425 08/03 00:51當IPS 不知道會剩多少 (目前用pi4..

wario2014 08/03 00:551G/600乖乖買台主流pc(顯卡可省)跑

wario2014 08/03 00:55軟防火牆,不然規則下去,地理ip再

wario2014 08/03 00:56濾一下,cpu使用率一見頂就慢下去了

violetish 08/03 01:00OpenBSD PF

eric00169 08/03 07:57對岸基本上ip都不會變 你可以試試看

eric00169 08/03 07:57白名單其實也可以了

eric00169 08/03 07:58除非妳家人用的是手機

b325019 08/03 08:25FG60F也才700M你一定要滿還是x86自

b325019 08/03 08:25幹吧

b325019 08/03 08:28你還要記得FG的規格表是單項功能的

b325019 08/03 08:28數字,功能開多還要打折

CKT0804 08/03 08:39如果只是怕nas 被攻擊 鎖二階段 驗

CKT0804 08/03 08:39證就好了

HamalAri 08/03 12:20為什麼會有防火牆可以擋勒索病毒的

HamalAri 08/03 12:20想法?

HamalAri 08/03 12:22有些東西是錢買不到的

沒有絕對安全的牆,但至少提高被攻破的難度..

a2470abc 08/03 13:14我比較簡單 用UDM pro, ips dpi全

a2470abc 08/03 13:14開。nas只開https 有掛ssl. 仍然被

a2470abc 08/03 13:14照三餐試密碼。心得是改用金鑰的方

a2470abc 08/03 13:14式認證比較安全

二段驗證是基本了,但預設5000 5001不打算對外

Windcws9Z 08/03 14:18刪掉Admin..你該不會都用root登入八

Windcws9Z 08/03 14:18

新創一個別的名字的管理員啦

※ 編輯: ch010062 (111.184.72.143 臺灣), 08/03/2021 14:32:26

Windcws9Z 08/03 14:37預算15000我會建議你UDM Pro

Windcws9Z 08/03 14:37買一買

Windcws9Z 08/03 14:37開IPS/IDS就好

Windcws9Z 08/03 14:45網頁過濾也沒有很吃

Windcws9Z 08/03 14:45掛葛腳本讓他自己更新

Windcws9Z 08/03 14:45主要還是防毒,你就找台電腦裝UTM

Windcws9Z 08/03 14:45e.g.Untangle之類的用免費Clam AV去

Windcws9Z 08/03 14:45

Windcws9Z 08/03 14:45好用還能付費改卡車司機etc

Windcws9Z 08/03 14:46整合在一起,要效能就貴 便宜就是慢

Windcws9Z 08/03 14:50然後VLAN該切的就切一些

Windcws9Z 08/03 14:50*切一切

snowcreeper 08/03 15:10NAS不開對外port 用代理或VPN進內

snowcreeper 08/03 15:10網 x86主機架v2ray (ws+tls方案)

snowcreeper 08/03 15:10加BBR加速 翻牆和內網存取一舉兩得

Windcws9Z 08/03 15:21勒索病毒87%不是內控失靈就是人員87

Windcws9Z 08/03 15:21你要注意的是有人手賤亂點亂插USB

Windcws9Z 08/03 15:21沒辦法用權限鎖,就只能多備份

free112136 08/03 17:42我都用nginx做反向代理與解https(

free112136 08/03 17:42加上自動更新憑證,免費就是爽),

free112136 08/03 17:42然後在nginx的access log端加上fai

free112136 08/03 17:42l2ban,碰到登入失敗規則上限自動ba

free112136 08/03 17:42n ip

IMDH 08/03 18:19中華有PA授權的NGFW可以考慮...

flypenguin 08/03 18:19家用備份做勤一點就好了吧…

flypenguin 08/03 18:19企業是不能忍受服務下線,才必須往

flypenguin 08/03 18:19外部防護這無底洞一直砸錢。

amy79968 08/03 18:34Mikrotik繼續pppoe 然後買fortigate

amy79968 08/03 18:34二手還有授權的 看不用跑pppoe有沒

amy79968 08/03 18:34有機會

soto2080 08/03 20:19你都有VPN了 那把服務只對內網開

soto2080 08/03 20:19放不就好了

Windcws9Z 08/04 06:21說的也是,反正都VPN回來惹

Windcws9Z 08/04 06:21那也沒有對外開放的必要

Windcws9Z 08/04 06:21NAS內網用就好

Windcws9Z 08/04 06:23不過我會建議你,那葛VPN要切VLAN

Windcws9Z 08/04 06:23跟你原本的內網隔開

Windcws9Z 08/04 06:57NAS服務對外開放就是有風險

Windcws9Z 08/04 06:57有開Port,就會有白目用Tool去掃

Windcws9Z 08/04 06:57去Try

Windcws9Z 08/04 07:02如果好死不死NAS有資安漏洞

Windcws9Z 08/04 07:02你又沒馬上下線去做Patch

Windcws9Z 08/04 07:02弄葛Injection手法,直接入侵遠端

Windcws9Z 08/04 07:02連登入都不用,更別說觸發fail2ban

Windcws9Z 08/04 07:06今年上半年,QNAP就是這樣中勒索的

其他人也閱讀了
PTT 熱門相關
PC_Shopping最新熱門推薦
🔥🔥🔥