[請益] 家用防火牆機器建置?
老實說不知道該發寬頻/儲存/防毒版/MIS板
想了一下偏家用DIY所以統整發這
[討論背景]
上半年有Q牌NAS勒索災情
最近NAS相關的FB社團也出現了S牌中獎和被大量網路攻擊的案例
所以開始思考是否要建置 實體家用防火牆 來阻擋網路攻擊/勒索
因為近期打算購入S牌NAS (DS1821+)
預計對外開PLEX/Webdav/網頁服務/SSR給在中國出差的家人翻牆
[使用環境]
網路: 中華光纖 1G/600M
路由器: Mikrotik RB4011igs+rm (只開常用port,關不用的服務,刪掉Admin,對外網域掛cloudflare proxy)
個人防毒: 卡巴斯基 家庭包
[建置評估]
若要同時啟用 IPS/IDS(入侵防護/偵測) + AV(防毒) + Web filter(網頁過濾)
想跑到Throughput 1Gb/s會非常吃效能...
畢竟我不想加了防火牆保護反而拖慢了我的1G網路速度
* 建置方案1: 實體UTM產品
如fortigate或是ZyXEL的產品
=> 若要開了IPS+AV後有1G輸出,至少要五萬以上的產品
中華雖然能租用機器可是實在太貴....因此先放棄這方案
* 建置方案2: 自組開源/免費的防火牆如pfsense或是sophos防火牆家用版,但需要有DIY的=> 組A300/X300 + Ryzen 3100/3400G的CPU + 轉接4埠網卡
效能夠用還能開ESXi
不過功耗可能會到70W
國外論壇已確認Ryzen 3100可以跑滿sophos防火牆家用版 1G防護
=> 對岸一萬上下的x86工控主機(研凌N18),CPU只有I家行動版 i5 8250u i7 8550U
硬體整合的小電腦,功耗極低15W而已,但效能能否足夠跑滿1G防護很懷疑...
* 建置方案3: 中華電信的防駭守門員服務
最近接到電銷說一個月60問我要不要加購
但網路上找不到什麼案例分享
很懷疑這東西的實際防駭能力 ?
就怕想上的網站反而不能上
不知道有沒有家用1G光纖的用戶有家用防火牆低成本建置的案例
我發現1G的防火牆硬體需求跟500/300M實在差太多了
目前還打不定主意到底該如何建置
預算希望在15000以下搞定
不然就靠Ros和中華防駭方案佛系防護了...
-----
Sent from JPTT on my iPhone
--
去撿台二手forti,然後買授權
個人認為這是最便宜的方案
然後有一個問題只要是開防護都會吃
硬體防火牆效能,所以頻寬會下降
除非你設的規則不納入UTM
個人是希望防火牆放在小烏龜和路由
中間走通透模式
這樣比較不影響原本的網路配置
中古fortigate 兩三千打死
回樓上那價位的我看過了,開了IPS和
Av速度剩1~200M
那就要買....6000左右的...
IPS有沒有用...覺得好像沒感覺
網拍高階二手的機子,便宜的大都授
權也到期了,無法更新資料庫所以先
放棄...
NAS用vpn方式分享 撥進自家網路再讀
我自己只用便宜的forti跑vpn就夠了
pfsense你直接拿NUC就可以跑了
pfsense上下限很高 你的需求不用高
有要跑對外服務才比較需要高階機器
CF免費版只forward http request
考慮到TLS加解密還有網卡相容性,也
是有想過NUC,先列入比較清單
你如果用pfsense也可以考慮找雙網孔
一個接小烏龜一個接內部
然後搭配openvpn+Freeradius直接進
內網就好了 可以省去不少麻煩
預計NAS不直接對外只開https服務,vp
n翻牆/管理/roon
看到不少dsm被try的案例,覺得可怕
VPN我都自建憑證,上面radius也是
Unifi dream machine pro也許可以
看看
出差是多久啊?短期的話直接漫遊就
好了
回樓上,是派駐所以還是得有個穩定t
ls梯子
要pc的話考慮 pi4?
中華電信企業用 先進防火牆服務還不
錯,可以考慮
我用 Fortigate & CP
forti 50E夠你用了,除非你的時間
多到不知道要幹嘛整天來建置除錯
forti 50E過濾後速度太慢了...不然
二手簡單就搞定
pi4別鬧 純NAT還行 log量多就卡IO
當IPS 不知道會剩多少 (目前用pi4..
1G/600乖乖買台主流pc(顯卡可省)跑
軟防火牆,不然規則下去,地理ip再
濾一下,cpu使用率一見頂就慢下去了
OpenBSD PF
對岸基本上ip都不會變 你可以試試看
白名單其實也可以了
除非妳家人用的是手機
FG60F也才700M你一定要滿還是x86自
幹吧
你還要記得FG的規格表是單項功能的
數字,功能開多還要打折
如果只是怕nas 被攻擊 鎖二階段 驗
證就好了
為什麼會有防火牆可以擋勒索病毒的
想法?
有些東西是錢買不到的
沒有絕對安全的牆,但至少提高被攻破的難度..
我比較簡單 用UDM pro, ips dpi全
開。nas只開https 有掛ssl. 仍然被
照三餐試密碼。心得是改用金鑰的方
式認證比較安全
二段驗證是基本了,但預設5000 5001不打算對外
刪掉Admin..你該不會都用root登入八
?
新創一個別的名字的管理員啦
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/03/2021 14:32:26預算15000我會建議你UDM Pro
買一買
開IPS/IDS就好
網頁過濾也沒有很吃
掛葛腳本讓他自己更新
主要還是防毒,你就找台電腦裝UTM
e.g.Untangle之類的用免費Clam AV去
掃
好用還能付費改卡車司機etc
整合在一起,要效能就貴 便宜就是慢
然後VLAN該切的就切一些
*切一切
NAS不開對外port 用代理或VPN進內
網 x86主機架v2ray (ws+tls方案)
加BBR加速 翻牆和內網存取一舉兩得
勒索病毒87%不是內控失靈就是人員87
你要注意的是有人手賤亂點亂插USB
沒辦法用權限鎖,就只能多備份
我都用nginx做反向代理與解https(
加上自動更新憑證,免費就是爽),
然後在nginx的access log端加上fai
l2ban,碰到登入失敗規則上限自動ba
n ip
中華有PA授權的NGFW可以考慮...
家用備份做勤一點就好了吧…
企業是不能忍受服務下線,才必須往
外部防護這無底洞一直砸錢。
Mikrotik繼續pppoe 然後買fortigate
二手還有授權的 看不用跑pppoe有沒
有機會
你都有VPN了 那把服務只對內網開
放不就好了
說的也是,反正都VPN回來惹
那也沒有對外開放的必要
NAS內網用就好
不過我會建議你,那葛VPN要切VLAN
跟你原本的內網隔開
NAS服務對外開放就是有風險
有開Port,就會有白目用Tool去掃
去Try
如果好死不死NAS有資安漏洞
你又沒馬上下線去做Patch
弄葛Injection手法,直接入侵遠端
連登入都不用,更別說觸發fail2ban
今年上半年,QNAP就是這樣中勒索的
23
Re: [閒聊] QNAP NAS被發現重大安全漏洞身為重度QNAP使用者我覺得這次事件主要的原因是開了多媒體相關APP 又沒更新APP造成的影響 我公司三台NAS都是QNAP,我自己本身也有買一台QNAP的 QNAP的OS老實說跟微軟有的比,每次更新都在修BUG進而產生更多的BUG 但我還是建議能更新就更新13
Re: [請益] 請問MIS資訊顧問哪裡找這樣你會遇到幾個問題 隨call隨到,除非是找個人工作室 一般願意做這類幾乎都是兼差 MA有兩種 第一種就是24x78
[問題] 請問如何完整利用中華電信配發6個固定ip在下日前申辦中華電信的寬頻網路 申辦前預計有多個設備需要固定 IP 聯外使用 分別計畫為: (1) 個人電腦、(2)舊電腦擔任雲端檔案伺服器、(3)開發板1(透過SSH控制) 、 (4) 開發板2(透過SSH控制)、(5)家用 ip分享器(含無線AP功能)8
Re: [請益] 關於外網連freenas vpn問題: : 各位前輩好,做了一些功課後組了人生第一台freenas : : 關於外網連入的部分也做了功課 用vpn連入後使用看起來是比起直接開port相對安全的方法 :4
[請益] 固定IP 及 防火牆路由器 對NAS的幫助性大家好 去年買了DS1520+放著到現在,只有裝了Synology Photos app上傳照片用 其他功能還沒時間摸索 最近剛好家裡要請人裝監視器,廠商有Synology NAS教學設定服務 打算請廠商一起幫忙3
[問題] nas防火牆設定這樣安全嗎?nas直接pppoe 暴露在外網 防火牆設這樣 測試手機用行動網路開app去ping跟scan known ports都沒回應 只有架設的服務端口有掃到opened(就填入防火牆規則內的) 這樣可以了吧?4
Fw: [問題] nas防火牆設定這樣安全嗎?作者: hn880265 ( ) 看板: Storage_Zone 標題: [問題] nas防火牆設定這樣安全嗎? 時間: Mon Mar 1 10:51:31 2021 nas直接pppoe 暴露在外網 防火牆設這樣4
[問題] 路由器與實體防火牆設定問題各位大大好 想來請教個問題 《原本的設備》 小烏龜 > wan 防火牆 (Fortigate 90D) 硬撥 lan > PC&Other (網段都為 192.168.10 .x) 後來因寬頻提升90D硬撥無法達到頻寬升級的數字 爬文後說是90D的問題 中間再多加一個