根據多次回答phoenix99版大的經驗
防護網站應該不能只用防火牆
應該是多功能防火牆 + 網頁防火牆同時處理才有效
針對https應該將SSL憑證放到網頁防火牆處理
這樣才能針對http及https做好相關的防護
至於其他的網路攻擊則交由多功能防火牆處理
同時,對的,防火牆不處理加密流量
或是啟動後處理能量很弱(如Fortigate啟用deep scan)
如果需要將封包解密後再交由多功能防火牆處理(如IPS)
處理完之後再加密通過交由後方網站(https)
則有BlueCoat、A10等產品專門處理
至於最近熱門的DDoS,則遠比想像中複雜得多
避免session table被打爆,不是找清洗流量就能解決
(因為以上所有資安產品都容易被打爆)
需要有專門防護DDoS的設備來處理L5-L7
總言之網路資安需要多層次防護
切莫奢想單一設備就能處理
上述內容尚有許多細節難以竟述
I'm sorry. My responses are limited.
You must ask the right questions.
(引自: I Robot)
iThome鐵人賽
看影片追技術