PTT數位生活區 / PC_Shopping (個人電腦購買)

[請益] 家用防火牆機器建置?

看板PC_Shopping (個人電腦購買)作者 (faker)時間4年前 (2021/08/02 21:26), 4年前編輯推噓24(24091)
留言115則, 25人參與, 4年前最新討論串1/1
老實說不知道該發寬頻/儲存/防毒版/MIS板 想了一下偏家用DIY所以統整發這 [討論背景] 上半年有Q牌NAS勒索災情 最近NAS相關的FB社團也出現了S牌中獎和被大量網路攻擊的案例 所以開始思考是否要建置 實體家用防火牆 來阻擋網路攻擊/勒索 因為近期打算購入S牌NAS (DS1821+) 預計對外開PLEX/Webdav/網頁服務/SSR給在中國出差的家人翻牆 [使用環境] 網路: 中華光纖 1G/600M 路由器: Mikrotik RB4011igs+rm (只開常用port,關不用的服務,刪掉Admin,對外網域掛cloudflare proxy) 個人防毒: 卡巴斯基 家庭包 [建置評估] 若要同時啟用 IPS/IDS(入侵防護/偵測) + AV(防毒) + Web filter(網頁過濾) 想跑到Throughput 1Gb/s會非常吃效能... 畢竟我不想加了防火牆保護反而拖慢了我的1G網路速度 * 建置方案1: 實體UTM產品 如fortigate或是ZyXEL的產品 => 若要開了IPS+AV後有1G輸出,至少要五萬以上的產品 中華雖然能租用機器可是實在太貴....因此先放棄這方案 * 建置方案2: 自組開源/免費的防火牆如pfsense或是sophos防火牆家用版,但需要有DIY的 => 組A300/X300 + Ryzen 3100/3400G的CPU + 轉接4埠網卡 效能夠用還能開ESXi 不過功耗可能會到70W 國外論壇已確認Ryzen 3100可以跑滿sophos防火牆家用版 1G防護 => 對岸一萬上下的x86工控主機(研凌N18),CPU只有I家行動版 i5 8250u i7 8550U 硬體整合的小電腦,功耗極低15W而已,但效能能否足夠跑滿1G防護很懷疑... * 建置方案3: 中華電信的防駭守門員服務 最近接到電銷說一個月60問我要不要加購 但網路上找不到什麼案例分享 很懷疑這東西的實際防駭能力 ? 就怕想上的網站反而不能上 不知道有沒有家用1G光纖的用戶有家用防火牆低成本建置的案例 我發現1G的防火牆硬體需求跟500/300M實在差太多了 目前還打不定主意到底該如何建置 預算希望在15000以下搞定 不然就靠Ros和中華防駭方案佛系防護了... ----- Sent from JPTT on my iPhone -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.184.72.143 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1627910785.A.95F.html
08/02 21:28, 4年前 , 1F
去撿台二手forti,然後買授權
08/02 21:28, 1F
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:28:34
08/02 21:28, 4年前 , 2F
個人認為這是最便宜的方案
08/02 21:28, 2F
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:29:20
08/02 21:29, 4年前 , 3F
然後有一個問題只要是開防護都會吃
08/02 21:29, 3F
08/02 21:29, 4年前 , 4F
硬體防火牆效能,所以頻寬會下降
08/02 21:29, 4F
08/02 21:29, 4年前 , 5F
除非你設的規則不納入UTM
08/02 21:29, 5F
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:30:25
08/02 21:32, 4年前 , 6F
個人是希望防火牆放在小烏龜和路由
08/02 21:32, 6F
08/02 21:32, 4年前 , 7F
中間走通透模式
08/02 21:32, 7F
08/02 21:32, 4年前 , 8F
這樣比較不影響原本的網路配置
08/02 21:32, 8F
08/02 21:49, 4年前 , 9F
中古fortigate 兩三千打死
08/02 21:49, 9F
08/02 21:54, 4年前 , 10F
回樓上那價位的我看過了,開了IPS和
08/02 21:54, 10F
08/02 21:54, 4年前 , 11F
Av速度剩1~200M
08/02 21:54, 11F
08/02 21:55, 4年前 , 12F
那就要買....6000左右的...
08/02 21:55, 12F
08/02 21:56, 4年前 , 13F
IPS有沒有用...覺得好像沒感覺
08/02 21:56, 13F
08/02 21:57, 4年前 , 14F
網拍高階二手的機子,便宜的大都授
08/02 21:57, 14F
08/02 21:57, 4年前 , 15F
權也到期了,無法更新資料庫所以先
08/02 21:57, 15F
08/02 21:58, 4年前 , 16F
放棄...
08/02 21:58, 16F
08/02 21:58, 4年前 , 17F
NAS用vpn方式分享 撥進自家網路再讀
08/02 21:58, 17F
08/02 21:58, 4年前 , 18F
我自己只用便宜的forti跑vpn就夠了
08/02 21:58, 18F
08/02 21:58, 4年前 , 19F
pfsense你直接拿NUC就可以跑了
08/02 21:58, 19F
08/02 21:59, 4年前 , 20F
pfsense上下限很高 你的需求不用高
08/02 21:59, 20F
08/02 21:59, 4年前 , 21F
有要跑對外服務才比較需要高階機器
08/02 21:59, 21F
08/02 22:00, 4年前 , 22F
CF免費版只forward http request
08/02 22:00, 22F
08/02 22:01, 4年前 , 23F
考慮到TLS加解密還有網卡相容性,也
08/02 22:01, 23F
08/02 22:01, 4年前 , 24F
是有想過NUC,先列入比較清單
08/02 22:01, 24F
08/02 22:02, 4年前 , 25F
你如果用pfsense也可以考慮找雙網孔
08/02 22:02, 25F
08/02 22:03, 4年前 , 26F
一個接小烏龜一個接內部
08/02 22:03, 26F
08/02 22:03, 4年前 , 27F
然後搭配openvpn+Freeradius直接進
08/02 22:03, 27F
08/02 22:03, 4年前 , 28F
內網就好了 可以省去不少麻煩
08/02 22:03, 28F
08/02 22:10, 4年前 , 29F
預計NAS不直接對外只開https服務,vp
08/02 22:10, 29F
08/02 22:10, 4年前 , 30F
n翻牆/管理/roon
08/02 22:10, 30F
08/02 22:13, 4年前 , 31F
看到不少dsm被try的案例,覺得可怕
08/02 22:13, 31F
08/02 22:14, 4年前 , 32F
VPN我都自建憑證,上面radius也是
08/02 22:14, 32F
08/02 22:26, 4年前 , 33F
Unifi dream machine pro也許可以
08/02 22:26, 33F
08/02 22:26, 4年前 , 34F
看看
08/02 22:26, 34F
08/02 22:32, 4年前 , 35F
出差是多久啊?短期的話直接漫遊就
08/02 22:32, 35F
08/02 22:32, 4年前 , 36F
好了
08/02 22:32, 36F
還有 39 則推文
還有 6 段內文
08/03 14:45, 4年前 , 76F
主要還是防毒,你就找台電腦裝UTM
08/03 14:45, 76F
08/03 14:45, 4年前 , 77F
e.g.Untangle之類的用免費Clam AV去
08/03 14:45, 77F
08/03 14:45, 4年前 , 78F
08/03 14:45, 78F
08/03 14:45, 4年前 , 79F
好用還能付費改卡車司機etc
08/03 14:45, 79F
08/03 14:46, 4年前 , 80F
整合在一起,要效能就貴 便宜就是慢
08/03 14:46, 80F
08/03 14:50, 4年前 , 81F
然後VLAN該切的就切一些
08/03 14:50, 81F
08/03 14:50, 4年前 , 82F
*切一切
08/03 14:50, 82F
08/03 15:10, 4年前 , 83F
NAS不開對外port 用代理或VPN進內
08/03 15:10, 83F
08/03 15:10, 4年前 , 84F
網 x86主機架v2ray (ws+tls方案)
08/03 15:10, 84F
08/03 15:10, 4年前 , 85F
加BBR加速 翻牆和內網存取一舉兩得
08/03 15:10, 85F
08/03 15:21, 4年前 , 86F
勒索病毒87%不是內控失靈就是人員87
08/03 15:21, 86F
08/03 15:21, 4年前 , 87F
你要注意的是有人手賤亂點亂插USB
08/03 15:21, 87F
08/03 15:21, 4年前 , 88F
沒辦法用權限鎖,就只能多備份
08/03 15:21, 88F
08/03 17:42, 4年前 , 89F
我都用nginx做反向代理與解https(
08/03 17:42, 89F
08/03 17:42, 4年前 , 90F
加上自動更新憑證,免費就是爽),
08/03 17:42, 90F
08/03 17:42, 4年前 , 91F
然後在nginx的access log端加上fai
08/03 17:42, 91F
08/03 17:42, 4年前 , 92F
l2ban,碰到登入失敗規則上限自動ba
08/03 17:42, 92F
08/03 17:42, 4年前 , 93F
n ip
08/03 17:42, 93F
08/03 18:19, 4年前 , 94F
中華有PA授權的NGFW可以考慮...
08/03 18:19, 94F
08/03 18:19, 4年前 , 95F
家用備份做勤一點就好了吧…
08/03 18:19, 95F
08/03 18:19, 4年前 , 96F
企業是不能忍受服務下線,才必須往
08/03 18:19, 96F
08/03 18:19, 4年前 , 97F
外部防護這無底洞一直砸錢。
08/03 18:19, 97F
08/03 18:34, 4年前 , 98F
Mikrotik繼續pppoe 然後買fortigate
08/03 18:34, 98F
08/03 18:34, 4年前 , 99F
二手還有授權的 看不用跑pppoe有沒
08/03 18:34, 99F
08/03 18:34, 4年前 , 100F
有機會
08/03 18:34, 100F
08/03 20:19, 4年前 , 101F
你都有VPN了 那把服務只對內網開
08/03 20:19, 101F
08/03 20:19, 4年前 , 102F
放不就好了
08/03 20:19, 102F
08/04 06:21, 4年前 , 103F
說的也是,反正都VPN回來惹
08/04 06:21, 103F
08/04 06:21, 4年前 , 104F
那也沒有對外開放的必要
08/04 06:21, 104F
08/04 06:21, 4年前 , 105F
NAS內網用就好
08/04 06:21, 105F
08/04 06:23, 4年前 , 106F
不過我會建議你,那葛VPN要切VLAN
08/04 06:23, 106F
08/04 06:23, 4年前 , 107F
跟你原本的內網隔開
08/04 06:23, 107F
08/04 06:57, 4年前 , 108F
NAS服務對外開放就是有風險
08/04 06:57, 108F
08/04 06:57, 4年前 , 109F
有開Port,就會有白目用Tool去掃
08/04 06:57, 109F
08/04 06:57, 4年前 , 110F
去Try
08/04 06:57, 110F
08/04 07:02, 4年前 , 111F
如果好死不死NAS有資安漏洞
08/04 07:02, 111F
08/04 07:02, 4年前 , 112F
你又沒馬上下線去做Patch
08/04 07:02, 112F
08/04 07:02, 4年前 , 113F
弄葛Injection手法,直接入侵遠端
08/04 07:02, 113F
08/04 07:02, 4年前 , 114F
連登入都不用,更別說觸發fail2ban
08/04 07:02, 114F
08/04 07:06, 4年前 , 115F
今年上半年,QNAP就是這樣中勒索的
08/04 07:06, 115F
更多 ch010062 的文章
文章代碼(AID): #1X1_A1bV (PC_Shopping)
PC_Shopping 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 ch010062 的文章
文章代碼(AID): #1X1_A1bV (PC_Shopping)