家用防火牆機器建置? - 3C

Agnes avatar
By Agnes
at 2021-08-02T21:26

Table of Contents


老實說不知道該發寬頻/儲存/防毒版/MIS板
想了一下偏家用DIY所以統整發這

[討論背景]
上半年有Q牌NAS勒索災情
最近NAS相關的FB社團也出現了S牌中獎和被大量網路攻擊的案例
所以開始思考是否要建置 實體家用防火牆 來阻擋網路攻擊/勒索
因為近期打算購入S牌NAS (DS1821+)
預計對外開PLEX/Webdav/網頁服務/SSR給在中國出差的家人翻牆

[使用環境]
網路: 中華光纖 1G/600M
路由器: Mikrotik RB4011igs+rm (只開常用port,關不用的服務,刪掉Admin,對外網域掛cloudflare proxy)
個人防毒: 卡巴斯基 家庭包

[建置評估]
若要同時啟用 IPS/IDS(入侵防護/偵測) + AV(防毒) + Web filter(網頁過濾)
想跑到Throughput 1Gb/s會非常吃效能...
畢竟我不想加了防火牆保護反而拖慢了我的1G網路速度


* 建置方案1: 實體UTM產品
如fortigate或是ZyXEL的產品
=> 若要開了IPS+AV後有1G輸出,至少要五萬以上的產品
中華雖然能租用機器可是實在太貴....因此先放棄這方案

* 建置方案2: 自組開源/免費的防火牆如pfsense或是sophos防火牆家用版,但需要有DIY的
=> 組A300/X300 + Ryzen 3100/3400G的CPU + 轉接4埠網卡
效能夠用還能開ESXi
不過功耗可能會到70W
國外論壇已確認Ryzen 3100可以跑滿sophos防火牆家用版 1G防護

=> 對岸一萬上下的x86工控主機(研凌N18),CPU只有I家行動版 i5 8250u i7 8550U
硬體整合的小電腦,功耗極低15W而已,但效能能否足夠跑滿1G防護很懷疑...

* 建置方案3: 中華電信的防駭守門員服務
最近接到電銷說一個月60問我要不要加購
但網路上找不到什麼案例分享
很懷疑這東西的實際防駭能力 ?
就怕想上的網站反而不能上

不知道有沒有家用1G光纖的用戶有家用防火牆低成本建置的案例
我發現1G的防火牆硬體需求跟500/300M實在差太多了
目前還打不定主意到底該如何建置
預算希望在15000以下搞定
不然就靠Ros和中華防駭方案佛系防護了...
-----
Sent from JPTT on my iPhone

--
Tags: 3C

All Comments

Odelette avatar
By Odelette
at 2021-08-04T15:18
去撿台二手forti,然後買授權
個人認為這是最便宜的方案
Audriana avatar
By Audriana
at 2021-08-09T14:18
然後有一個問題只要是開防護都會吃
硬體防火牆效能,所以頻寬會下降
除非你設的規則不納入UTM
Quanna avatar
By Quanna
at 2021-08-13T03:14
個人是希望防火牆放在小烏龜和路由
中間走通透模式
這樣比較不影響原本的網路配置
Callum avatar
By Callum
at 2021-08-13T10:09
中古fortigate 兩三千打死
Olga avatar
By Olga
at 2021-08-15T11:54
回樓上那價位的我看過了,開了IPS和
Av速度剩1~200M
Susan avatar
By Susan
at 2021-08-19T02:08
那就要買....6000左右的...
Rae avatar
By Rae
at 2021-08-21T08:48
IPS有沒有用...覺得好像沒感覺
Jake avatar
By Jake
at 2021-08-22T20:05
網拍高階二手的機子,便宜的大都授
權也到期了,無法更新資料庫所以先
Bennie avatar
By Bennie
at 2021-08-24T18:15
放棄...
Noah avatar
By Noah
at 2021-08-29T00:47
NAS用vpn方式分享 撥進自家網路再讀
我自己只用便宜的forti跑vpn就夠了
Anthony avatar
By Anthony
at 2021-09-02T02:56
pfsense你直接拿NUC就可以跑了
Linda avatar
By Linda
at 2021-09-03T09:11
pfsense上下限很高 你的需求不用高
Victoria avatar
By Victoria
at 2021-09-04T13:25
有要跑對外服務才比較需要高階機器
Carolina Franco avatar
By Carolina Franco
at 2021-09-07T03:52
CF免費版只forward http request
Emma avatar
By Emma
at 2021-09-07T20:35
考慮到TLS加解密還有網卡相容性,也
是有想過NUC,先列入比較清單
Ina avatar
By Ina
at 2021-09-12T14:34
你如果用pfsense也可以考慮找雙網孔
David avatar
By David
at 2021-09-13T16:51
一個接小烏龜一個接內部
然後搭配openvpn+Freeradius直接進
內網就好了 可以省去不少麻煩
Kyle avatar
By Kyle
at 2021-09-16T13:29
預計NAS不直接對外只開https服務,vp
n翻牆/管理/roon
Agnes avatar
By Agnes
at 2021-09-20T15:52
看到不少dsm被try的案例,覺得可怕
Ursula avatar
By Ursula
at 2021-09-25T08:31
VPN我都自建憑證,上面radius也是
Kyle avatar
By Kyle
at 2021-09-30T00:14
Unifi dream machine pro也許可以
看看
Kristin avatar
By Kristin
at 2021-10-03T11:23
出差是多久啊?短期的話直接漫遊就
好了
Hedy avatar
By Hedy
at 2021-10-05T01:59
回樓上,是派駐所以還是得有個穩定t
ls梯子
Rosalind avatar
By Rosalind
at 2021-10-06T06:23
要pc的話考慮 pi4?
Madame avatar
By Madame
at 2021-10-06T18:31
中華電信企業用 先進防火牆服務還不
Hedwig avatar
By Hedwig
at 2021-10-09T09:47
錯,可以考慮
Christine avatar
By Christine
at 2021-10-11T01:54
我用 Fortigate & CP
Isabella avatar
By Isabella
at 2021-10-14T22:51
forti 50E夠你用了,除非你的時間
Kelly avatar
By Kelly
at 2021-10-15T09:02
多到不知道要幹嘛整天來建置除錯
Oliver avatar
By Oliver
at 2021-10-20T07:36
forti 50E過濾後速度太慢了...不然
二手簡單就搞定
Aaliyah avatar
By Aaliyah
at 2021-10-21T13:46
pi4別鬧 純NAT還行 log量多就卡IO
Ophelia avatar
By Ophelia
at 2021-10-25T15:12
當IPS 不知道會剩多少 (目前用pi4..
Faithe avatar
By Faithe
at 2021-10-27T05:53
1G/600乖乖買台主流pc(顯卡可省)跑
軟防火牆,不然規則下去,地理ip再
Mary avatar
By Mary
at 2021-10-30T07:41
濾一下,cpu使用率一見頂就慢下去了
Charlie avatar
By Charlie
at 2021-10-30T14:44
OpenBSD PF
Rae avatar
By Rae
at 2021-11-02T11:38
對岸基本上ip都不會變 你可以試試看
白名單其實也可以了
Enid avatar
By Enid
at 2021-11-04T02:49
除非妳家人用的是手機
Ophelia avatar
By Ophelia
at 2021-11-04T12:10
FG60F也才700M你一定要滿還是x86自
幹吧
Victoria avatar
By Victoria
at 2021-11-07T11:45
你還要記得FG的規格表是單項功能的
Kumar avatar
By Kumar
at 2021-11-09T23:42
數字,功能開多還要打折
Callum avatar
By Callum
at 2021-11-13T20:32
如果只是怕nas 被攻擊 鎖二階段 驗
Daph Bay avatar
By Daph Bay
at 2021-11-17T06:45
證就好了
Ida avatar
By Ida
at 2021-11-17T10:12
為什麼會有防火牆可以擋勒索病毒的
Erin avatar
By Erin
at 2021-11-18T19:02
想法?
Heather avatar
By Heather
at 2021-11-20T18:20
有些東西是錢買不到的
Barb Cronin avatar
By Barb Cronin
at 2021-11-24T05:15
我比較簡單 用UDM pro, ips dpi全
照三餐試密碼。心得是改用金鑰的方
式認證比較安全
Ethan avatar
By Ethan
at 2021-11-28T05:28
開。nas只開https 有掛ssl. 仍然被
Elizabeth avatar
By Elizabeth
at 2021-12-02T18:52
刪掉Admin..你該不會都用root登入八
Agatha avatar
By Agatha
at 2021-12-07T00:42
Kama avatar
By Kama
at 2021-12-07T11:49
預算15000我會建議你UDM Pro
買一買
開IPS/IDS就好
Elvira avatar
By Elvira
at 2021-12-08T13:01
網頁過濾也沒有很吃
掛葛腳本讓他自己更新
主要還是防毒,你就找台電腦裝UTM
e.g.Untangle之類的用免費Clam AV去

好用還能付費改卡車司機etc
Frederica avatar
By Frederica
at 2021-12-10T13:40
整合在一起,要效能就貴 便宜就是慢
Selena avatar
By Selena
at 2021-12-11T02:55
然後VLAN該切的就切一些
*切一切
Mason avatar
By Mason
at 2021-12-12T12:21
NAS不開對外port 用代理或VPN進內
網 x86主機架v2ray (ws+tls方案)
加BBR加速 翻牆和內網存取一舉兩得
Adele avatar
By Adele
at 2021-12-14T06:52
勒索病毒87%不是內控失靈就是人員87
你要注意的是有人手賤亂點亂插USB
沒辦法用權限鎖,就只能多備份
Oliver avatar
By Oliver
at 2021-12-16T16:15
我都用nginx做反向代理與解https(
加上自動更新憑證,免費就是爽),
然後在nginx的access log端加上fai
l2ban,碰到登入失敗規則上限自動ba
n ip
Thomas avatar
By Thomas
at 2021-12-18T03:44
中華有PA授權的NGFW可以考慮...
Ursula avatar
By Ursula
at 2021-12-22T19:31
家用備份做勤一點就好了吧…
企業是不能忍受服務下線,才必須往
外部防護這無底洞一直砸錢。
Barb Cronin avatar
By Barb Cronin
at 2021-12-26T20:13
Mikrotik繼續pppoe 然後買fortigate
二手還有授權的 看不用跑pppoe有沒
有機會
Thomas avatar
By Thomas
at 2021-12-27T17:53
你都有VPN了 那把服務只對內網開
放不就好了
Thomas avatar
By Thomas
at 2021-12-28T03:57
說的也是,反正都VPN回來惹
那也沒有對外開放的必要
NAS內網用就好
Eden avatar
By Eden
at 2021-12-29T06:26
不過我會建議你,那葛VPN要切VLAN
跟你原本的內網隔開
Cara avatar
By Cara
at 2021-12-30T14:30
NAS服務對外開放就是有風險
有開Port,就會有白目用Tool去掃
去Try
Genevieve avatar
By Genevieve
at 2021-12-31T18:49
如果好死不死NAS有資安漏洞
你又沒馬上下線去做Patch
弄葛Injection手法,直接入侵遠端
連登入都不用,更別說觸發fail2ban
Gary avatar
By Gary
at 2022-01-02T20:22
今年上半年,QNAP就是這樣中勒索的

7100/1050的升級目標

Enid avatar
By Enid
at 2021-08-02T21:08
家中電腦規格如下 CPU:Intel i3-7100 RAM:8G DDR4-2400 VGA:GTX1050 MB:GIGABYTE H110M-DS2V SSD:不知名120G(SATA3) PS:不知名500W 基本上使用都是我弟在打遊戲,APEX、AVA、特戰英豪 他之前跟我說想買144hz螢幕被我 ...

3/17 EVGA3080非菁排到 3885KL

Jacky avatar
By Jacky
at 2021-08-02T20:56
排隊時間:3/17下午15點半 型號:XC3 ULTRA GAMING, 10G-P5-3885-KL, 10GB GDDR6X, ARGB LED 傍晚收信看到,趕快愉悅刷卡結帳,舒服 https://i.imgur.com/KRG9qqF.png 提一個我覺得重要的小問題: 大哥網站似乎會檢查來 ...

40k 菜單

Mary avatar
By Mary
at 2021-08-02T20:45
預算/用途:預算最高到40K不能再多了,打APEX跟其他FPS遊戲,Minecraft或其他3A大作 不全開順跑 CPU + MB:TUF GAMING B550 PLUS + AMD R5 5600X RAM (記憶體):十銓 8*2 DDR4-3200 VGA (顯示卡):微星 RTX3 ...

請問現在是中高階卡CP值比較好嗎?

Odelette avatar
By Odelette
at 2021-08-02T20:38
是這樣啦 萬元以下顯卡 現在沒有CP值可言 你看看現在1066要6K-7K,一年前你在加點錢 都可以買2張了~ 目前來說 只有Evga 3060 大概12K Evga 3070ti 大概19-20k Evg ...

FD Meshify 2 compact RMA心得

Annie avatar
By Annie
at 2021-08-02T20:29
各位板友晚安 前一陣子自組電腦 使用幾天後 發生了持續重開機 切掉電源再打開電源會自動開機 之後過幾秒又關機的狀況 經過反覆測試發現只要把機殼pw 接上主機板 就會有這個現象 拔掉就一切正常 於是只好把reset接上主機板pw 位置 用重開機鍵代替開機用 接著開始試著跑RMA流程 7/17 ...