[請益] 家用防火牆機器建置?

看板: pc_shopping時間: 2021年08月02日作者: ch010062

老實說不知道該發寬頻/儲存/防毒版/MIS板 想了一下偏家用DIY所以統整發這 [討論背景] 上半年有Q牌NAS勒索災情 最近NAS相關的FB社團也出現了S牌中獎和被大量網路攻擊的案例 所以開始思考是否要建置 實體家用防火牆 來阻擋網路攻擊/勒索 因為近期打算購入S牌NAS (DS1821+) 預計對外開PLEX/Webdav/網頁服務/SSR給在中國出差的家人翻牆 [使用環境] 網路: 中華光纖 1G/600M 路由器: Mikrotik RB4011igs+rm (只開常用port,關不用的服務,刪掉Admin,對外網域掛cloudflare proxy) 個人防毒: 卡巴斯基 家庭包 [建置評估] 若要同時啟用 IPS/IDS(入侵防護/偵測) + AV(防毒) + Web filter(網頁過濾) 想跑到Throughput 1Gb/s會非常吃效能... 畢竟我不想加了防火牆保護反而拖慢了我的1G網路速度 * 建置方案1: 實體UTM產品 如fortigate或是ZyXEL的產品 => 若要開了IPS+AV後有1G輸出,至少要五萬以上的產品 中華雖然能租用機器可是實在太貴....因此先放棄這方案 * 建置方案2: 自組開源/免費的防火牆如pfsense或是sophos防火牆家用版,但需要有DIY的 => 組A300/X300 + Ryzen 3100/3400G的CPU + 轉接4埠網卡 效能夠用還能開ESXi 不過功耗可能會到70W 國外論壇已確認Ryzen 3100可以跑滿sophos防火牆家用版 1G防護 => 對岸一萬上下的x86工控主機(研凌N18),CPU只有I家行動版 i5 8250u i7 8550U 硬體整合的小電腦,功耗極低15W而已,但效能能否足夠跑滿1G防護很懷疑... * 建置方案3: 中華電信的防駭守門員服務 最近接到電銷說一個月60問我要不要加購 但網路上找不到什麼案例分享 很懷疑這東西的實際防駭能力 ? 就怕想上的網站反而不能上 不知道有沒有家用1G光纖的用戶有家用防火牆低成本建置的案例 我發現1G的防火牆硬體需求跟500/300M實在差太多了 目前還打不定主意到底該如何建置 預算希望在15000以下搞定 不然就靠Ros和中華防駭方案佛系防護了... ----- Sent from JPTT on my iPhone --
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.184.72.143 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1627910785.A.95F.html
1Ffonzae: 去撿台二手forti,然後買授權 220.135.27.187 08/02 21:28
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:28:34
2Ffonzae: 個人認為這是最便宜的方案 220.135.27.187 08/02 21:28
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:29:20
3Ffonzae: 然後有一個問題只要是開防護都會吃 220.135.27.187 08/02 21:29
4Ffonzae: 硬體防火牆效能,所以頻寬會下降 220.135.27.187 08/02 21:29
5Ffonzae: 除非你設的規則不納入UTM 220.135.27.187 08/02 21:29
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 21:30:25
6Fch010062: 個人是希望防火牆放在小烏龜和路由 111.184.72.143 08/02 21:32
7Fch010062: 中間走通透模式 111.184.72.143 08/02 21:32
8Fch010062: 這樣比較不影響原本的網路配置 111.184.72.143 08/02 21:32
9Fcreepy: 中古fortigate 兩三千打死 220.129.141.96 08/02 21:49
10Fch010062: 回樓上那價位的我看過了,開了IPS和 111.184.72.143 08/02 21:54
11Fch010062: Av速度剩1~200M 111.184.72.143 08/02 21:54
12Fcreepy: 那就要買....6000左右的... 220.129.141.96 08/02 21:55
13Fcreepy: IPS有沒有用...覺得好像沒感覺 220.129.141.96 08/02 21:56
14Fch010062: 網拍高階二手的機子,便宜的大都授 111.184.72.143 08/02 21:57
15Fch010062: 權也到期了,無法更新資料庫所以先 111.184.72.143 08/02 21:57
16Fch010062: 放棄... 111.184.72.143 08/02 21:58
17Fcreepy: NAS用vpn方式分享 撥進自家網路再讀 220.129.141.96 08/02 21:58
18Fcreepy: 我自己只用便宜的forti跑vpn就夠了 220.129.141.96 08/02 21:58
19Feric00169: pfsense你直接拿NUC就可以跑了 36.229.97.137 08/02 21:58
20Feric00169: pfsense上下限很高 你的需求不用高 36.229.97.137 08/02 21:59
21Fcreepy: 有要跑對外服務才比較需要高階機器 220.129.141.96 08/02 21:59
22FEuphokumiko: CF免費版只forward http request 220.133.6.84 08/02 22:00
23Fch010062: 考慮到TLS加解密還有網卡相容性,也 111.184.72.143 08/02 22:01
24Fch010062: 是有想過NUC,先列入比較清單 111.184.72.143 08/02 22:01
25Feric00169: 你如果用pfsense也可以考慮找雙網孔 36.229.97.137 08/02 22:02
26Feric00169: 一個接小烏龜一個接內部 36.229.97.137 08/02 22:03
27Feric00169: 然後搭配openvpn+Freeradius直接進 36.229.97.137 08/02 22:03
28Feric00169: 內網就好了 可以省去不少麻煩 36.229.97.137 08/02 22:03
29Fch010062: 預計NAS不直接對外只開https服務,vp111.184.72.143 08/02 22:10
30Fch010062: n翻牆/管理/roon111.184.72.143 08/02 22:10
31Fch010062: 看到不少dsm被try的案例,覺得可怕111.184.72.143 08/02 22:13
32Ffonzae: VPN我都自建憑證,上面radius也是220.135.27.187 08/02 22:14
33FKoibito: Unifi dream machine pro也許可以185.218.127.34 08/02 22:26
34FKoibito: 看看185.218.127.34 08/02 22:26
35Fselfhu: 出差是多久啊?短期的話直接漫遊就114.137.47.58 08/02 22:32
36Fselfhu: 好了114.137.47.58 08/02 22:32
37Fch010062: 回樓上,是派駐所以還是得有個穩定t111.184.72.143 08/02 22:48
38Fch010062: ls梯子111.184.72.143 08/02 22:48
39Fsppmg: 要pc的話考慮 pi4? 49.216.54.12 08/02 22:56
40Fgameguy: 中華電信企業用 先進防火牆服務還不 110.26.164.253 08/02 23:00
41Fgameguy: 錯,可以考慮110.26.164.253 08/02 23:00
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/02/2021 23:03:54
42Fasdfghjklasd: 我用 Fortigate & CP140.238.52.217 08/02 23:15
43Flovespre: forti 50E夠你用了,除非你的時間72.137.206.138 08/03 00:24
44Flovespre: 多到不知道要幹嘛整天來建置除錯72.137.206.138 08/03 00:25
※ 編輯: ch010062 (111.184.72.143 臺灣), 08/03/2021 00:27:47
45Fch010062: forti 50E過濾後速度太慢了...不然111.184.72.143 08/03 00:29
46Fch010062: 二手簡單就搞定111.184.72.143 08/03 00:29
ch010062: 不要說1g,300M都沒 https://i.imgur.com/sTEwy7M.jpg [m111.184.72.143 08/03 00:35
s ※ 編輯: ch010062 (111.184.72.143 臺灣), 08/03/2021 00:36:28
47Fcs8425: pi4別鬧 純NAT還行 log量多就卡IO 218.161.13.77 08/03 00:50
48Fcs8425: 當IPS 不知道會剩多少 (目前用pi4.. 218.161.13.77 08/03 00:51
49Fwario2014: 1G/600乖乖買台主流pc(顯卡可省)跑118.161.173.186 08/03 00:55
50Fwario2014: 軟防火牆,不然規則下去,地理ip再118.161.173.186 08/03 00:55
51Fwario2014: 濾一下,cpu使用率一見頂就慢下去了118.161.173.186 08/03 00:56
52Fvioletish: OpenBSD PF220.133.126.72 08/03 01:00
53Feric00169: 對岸基本上ip都不會變 你可以試試看114.45.189.224 08/03 07:57
54Feric00169: 白名單其實也可以了114.45.189.224 08/03 07:57
55Feric00169: 除非妳家人用的是手機114.45.189.224 08/03 07:58
56Fb325019: FG60F也才700M你一定要滿還是x86自60.248.33.28 08/03 08:25
57Fb325019: 幹吧60.248.33.28 08/03 08:25
58Fb325019: 你還要記得FG的規格表是單項功能的60.248.33.28 08/03 08:28
59Fb325019: 數字,功能開多還要打折 60.248.33.28 08/03 08:28
60FCKT0804: 如果只是怕nas 被攻擊 鎖二階段 驗 1.169.17.44 08/03 08:39
61FCKT0804: 證就好了1.169.17.44 08/03 08:39
62FHamalAri: 為什麼會有防火牆可以擋勒索病毒的 36.224.124.191 08/03 12:20
63FHamalAri: 想法?36.224.124.191 08/03 12:20
64FHamalAri: 有些東西是錢買不到的36.224.124.191 08/03 12:22
沒有絕對安全的牆,但至少提高被攻破的難度..
65Fa2470abc: 我比較簡單 用UDM pro, ips dpi全59.127.185.17 08/03 13:14
66Fa2470abc: 開。nas只開https 有掛ssl. 仍然被 59.127.185.17 08/03 13:14
67Fa2470abc: 照三餐試密碼。心得是改用金鑰的方59.127.185.17 08/03 13:14
68Fa2470abc: 式認證比較安全59.127.185.17 08/03 13:14
二段驗證是基本了,但預設5000 5001不打算對外
69FWindcws9Z: 刪掉Admin..你該不會都用root登入八59.127.190.36 08/03 14:18
70FWindcws9Z: ? 59.127.190.36 08/03 14:18
新創一個別的名字的管理員啦 ※ 編輯: ch010062 (111.184.72.143 臺灣), 08/03/2021 14:32:26
71FWindcws9Z: 預算15000我會建議你UDM Pro 59.127.190.36 08/03 14:37
72FWindcws9Z: 買一買 59.127.190.36 08/03 14:37
73FWindcws9Z: 開IPS/IDS就好 59.127.190.36 08/03 14:37
74FWindcws9Z: 網頁過濾也沒有很吃 59.127.190.36 08/03 14:45
75FWindcws9Z: 掛葛腳本讓他自己更新 59.127.190.36 08/03 14:45
76FWindcws9Z: 主要還是防毒,你就找台電腦裝UTM 59.127.190.36 08/03 14:45
77FWindcws9Z: e.g.Untangle之類的用免費Clam AV去 59.127.190.36 08/03 14:45
78FWindcws9Z: 掃 59.127.190.36 08/03 14:45
79FWindcws9Z: 好用還能付費改卡車司機etc 59.127.190.36 08/03 14:45
80FWindcws9Z: 整合在一起,要效能就貴 便宜就是慢 59.127.190.36 08/03 14:46
81FWindcws9Z: 然後VLAN該切的就切一些 59.127.190.36 08/03 14:50
82FWindcws9Z: *切一切 59.127.190.36 08/03 14:50
83Fsnowcreeper: NAS不開對外port 用代理或VPN進內 1.161.190.29 08/03 15:10
84Fsnowcreeper: 網 x86主機架v2ray (ws+tls方案) 1.161.190.29 08/03 15:10
85Fsnowcreeper: 加BBR加速 翻牆和內網存取一舉兩得 1.161.190.29 08/03 15:10
86FWindcws9Z: 勒索病毒87%不是內控失靈就是人員87 59.127.190.36 08/03 15:21
87FWindcws9Z: 你要注意的是有人手賤亂點亂插USB 59.127.190.36 08/03 15:21
88FWindcws9Z: 沒辦法用權限鎖,就只能多備份 59.127.190.36 08/03 15:21
89Ffree112136: 我都用nginx做反向代理與解https( 114.24.240.169 08/03 17:42
90Ffree112136: 加上自動更新憑證,免費就是爽), 114.24.240.169 08/03 17:42
91Ffree112136: 然後在nginx的access log端加上fai 114.24.240.169 08/03 17:42
92Ffree112136: l2ban,碰到登入失敗規則上限自動ba 114.24.240.169 08/03 17:42
93Ffree112136: n ip 114.24.240.169 08/03 17:42
94FIMDH: 中華有PA授權的NGFW可以考慮...118.161.245.195 08/03 18:19
95Fflypenguin: 家用備份做勤一點就好了吧… 61.228.25.58 08/03 18:19
96Fflypenguin: 企業是不能忍受服務下線,才必須往 61.228.25.58 08/03 18:19
97Fflypenguin: 外部防護這無底洞一直砸錢。 61.228.25.58 08/03 18:19
98Famy79968: Mikrotik繼續pppoe 然後買fortigate 36.229.174.238 08/03 18:34
99Famy79968: 二手還有授權的 看不用跑pppoe有沒 36.229.174.238 08/03 18:34
100Famy79968: 有機會 36.229.174.238 08/03 18:34
101Fsoto2080: 你都有VPN了 那把服務只對內網開 8.37.43.161 08/03 20:19
102Fsoto2080: 放不就好了 8.37.43.161 08/03 20:19
103FWindcws9Z: 說的也是,反正都VPN回來惹 59.127.190.36 08/04 06:21
104FWindcws9Z: 那也沒有對外開放的必要 59.127.190.36 08/04 06:21
105FWindcws9Z: NAS內網用就好 59.127.190.36 08/04 06:21
106FWindcws9Z: 不過我會建議你,那葛VPN要切VLAN 59.127.190.36 08/04 06:23
107FWindcws9Z: 跟你原本的內網隔開 59.127.190.36 08/04 06:23
108FWindcws9Z: NAS服務對外開放就是有風險 59.127.190.36 08/04 06:57
109FWindcws9Z: 有開Port,就會有白目用Tool去掃 59.127.190.36 08/04 06:57
110FWindcws9Z: 去Try 59.127.190.36 08/04 06:57
111FWindcws9Z: 如果好死不死NAS有資安漏洞 59.127.190.36 08/04 07:02
112FWindcws9Z: 你又沒馬上下線去做Patch 59.127.190.36 08/04 07:02
113FWindcws9Z: 弄葛Injection手法,直接入侵遠端 59.127.190.36 08/04 07:02
114FWindcws9Z: 連登入都不用,更別說觸發fail2ban 59.127.190.36 08/04 07:02
115FWindcws9Z: 今年上半年,QNAP就是這樣中勒索的 59.127.190.36 08/04 07:06

pc_shopping熱門文章

31 [請益] 關於FM的抉擇
92 pc_shopping 2021-09-04 23:43
11 Re: [請益] 接地問題
50 pc_shopping 2021-09-04 05:10
22 [請益] 接地問題
74 pc_shopping 2021-09-03 13:22
25 [請益] D15、D15S
77 pc_shopping 2021-09-01 11:23

全站熱門文章

33 [請益] 台積電買賣請教
105 stock 2021-09-06 16:34
47 [請益] 0056要不要全換0050 ?
130 stock 2021-09-06 13:07
22 [問題] UX-250H & Model3
47 car 2021-09-06 11:58
19 [請益] 中壢過嶺房價
50 home-sale 2021-09-06 10:41