iT邦幫忙

0

請問hinet的資安艦隊跟頻寬夠不夠

是這樣的,教會要建立一個網站系統,主要是給分散在全省各鄉鎮的志工跑行政功能,也公開一些資訊給社會大眾,志工的點很分散,大約30個點,一個點約1~4人,預估同時上線人數在90到100人左右,公開網站的人不算在內

廠商建議用hinet的資安艦隊,現在申請的有送一台SOPHOS XG105,廠商說這是入侵防禦系統,但我上網查都說這台是防火牆,不是擋入侵的機器。
另一個選擇是FortiGateFortiGate -80E,但有資料說這台適合25人而已
兩台搭中華的月租都差不多

我知道防火牆就只是能管理進出走的路線而已,被打的時候也是笨笨的把攻擊轉進來,只有真正的入侵防禦系統才有AI能判斷是不是真的被駭客了,才會真的擋下來
廠商說網站那台主機還要裝一個SOPHOS的軟體就能擋入侵了,但有教友說真的擋害客都在網路上擋,被打到主機時什麼軟體都沒用,所以廠商說的我很擔心,但又沒足夠的專業去質疑,好慘><

我想請問大家,這兩台那台才真的能阻擋害客?
還有就是,裝置的原廠都建議只25人了,當100人同時連線時,會不會卡住啊?
線路還沒決定用100\100或者是500\250但感覺100人每人分到1mb應該夠,網頁另存完整檔案,平均一頁含圖只有半mb,不過這只是我自己想的
最後就是,萬一上面兩台都不能擋,能讓100人同時連線的流量的網站防禦設備一台多少錢?

謝謝大家

看更多先前的討論...收起先前的討論...
q00153 iT邦新手 4 級 ‧ 2018-06-12 08:59:37 檢舉
俺會請向於使用 Google 的 GCE 或亞馬遜的 AWS 來架站,兩間都有提供基本的 DDOS 防護,GCE 好像還能訂製,AWS 不了解,但是比起自己買硬體跟網路架設網站,我覺得大公司的伺服器安全性或穩定性都是自己弄不能比較的,除非是大公司,有專業 IT 團隊,而且資料有其機密性,比如商業技術資料,或者財務資料等等...
這兩台那台才真的能阻擋害客?
兩台都可以 ,兩台也都不行

就像是哪家保全公司可以擋掉流氓去破壞教會?? 要看流氓的攻擊力跟人數才有辦法評估呀
yesongow iT邦大師 1 級 ‧ 2018-06-12 10:35:04 檢舉
你是要擋住駭客入侵?還是要擋住癱瘓流量?
方向不同,解決方式也不同!
其實,沒所謂真正的擋住。ddos跟入侵是兩種不同領域的東西。
前著是你買任何機器都沒用的。要買頻寬跟流量。
後著則是除了看機器等級跟你的設定方式。因為設定太嚴格會增加麻煩性。設定太寬則有買跟沒買一樣。

一般來說,真正要可以好好擋駭客的機器,機器少說也得要10開頭以上。
且還需要搭配會控管的人員。這只有在非常大的公司,才會去考量這樣的預算。

基本上,如果預算不到10萬的話。你可以不需要考量這一堆。
或是直接採用外部主機來幫你也行。
黃彥儒 iT邦研究生 2 級 ‧ 2018-06-12 10:49:14 檢舉
請善用雲端服務....不要用隨便打隨便沉的資安艦隊
hsiang11 iT邦研究生 5 級 ‧ 2018-06-12 11:05:11 檢舉
我覺得樓主想的太複雜了 防駭客是能力和設備疊出來的結果 少了一樣都還是會被打趴
以你的需求就只是公開網站全開放在internet
然後志工的行政需求(後台?)就是在網站上限IP連線,全部志工的點都要申請光纖,在另外申請1固ip需求
這是在web端就該做到的,
而且根本不會有人想去駭教會吧 又不是isis
純真的人 iT邦研究生 2 級 ‧ 2018-06-12 17:45:02 檢舉
感覺被唬來的...
josephine iT邦新手 5 級 ‧ 2018-06-12 18:48:18 檢舉
因為被打過所以會擔心,之前就被對岸的改過首頁.....><

啊!所以上面這兩台,有人用過嗎?我還以為資安艦隊很多人用@@
josephine iT邦新手 5 級 ‧ 2018-06-12 18:49:26 檢舉
我現在面臨決定用哪台的問題.....改系統架構應該沒可能的
facers iT邦新手 3 級 ‧ 2018-06-13 09:54:55 檢舉
先不說這個資安服務,你可以說說你網站系統怎麼架的?程式怎麼確保不會有漏洞,用資安艦隊不代表可以幫你的網站或系統漏洞補起來,即使你今天用CheckPoint也沒辦法阻止你的網站被入侵。
josephine iT邦新手 5 級 ‧ 2018-06-13 14:16:31 檢舉
謝謝facers
只要能擋大部分程式設計師的漏洞就好了,萬一還是被打再說
我相信現代廠商應該能把常見的都擋9成吧,最新手法就算了,反正應該不會有人針對教會,但過去的網站用很古早的asp寫的,網路上很多自動化的程式都能鑽進來就太扯了
看到密碼欄位,用一樣的密碼儲存的編碼後的那串每次都一樣,就知道廠商的資安功力....@@ 反正我也沒權利換廠商,就只能就現有環境幫忙補洞了
只希望WAF能讓洞少一點就上帝保佑了
josephine iT邦新手 5 級 ‧ 2018-06-13 14:18:46 檢舉
謝謝黃彥儒
但是沒錢進機房啊,進機房對現有行政作業影響太大,只要防網站就簡單多了
Dickens iT邦新手 4 級 ‧ 2018-06-14 09:42:05 檢舉
改首頁這種事情是操作者導致的吧 ...
該不會是被改成hao123
0
mytiny
iT邦大師 2 級 ‧ 2018-06-12 21:59:02
最佳解答

以下是小弟個人的看法,供樓主您參考:

樓主應該要知道,這兩台都不是單純的防火牆
因為其內都含有對內容層級的資安防護
網路安全防護的好與壞,單看產品很難比較出來
可是服務貴單位的廠商對設備的熟悉程度與技術能力
卻會很直接的決定您防護的成效

如果一個廠商,連設備的功能都說不清楚
也沒辦法將產品的實際成效做一些真正的展示
樓主就算買了"無敵鐵金剛"只怕也起不了什麼防護作用
這樣應該知道你該換的是什麼了吧
請做正確的抉擇

最後,很誠心地提醒樓主
因為您要防護的是一個網站系統
所以您應該不是要買"防火牆"
您需要買的是一個"網頁防火牆",英文 WAF
請到Google搜索並了解一下(網頁防置換)

看更多先前的回應...收起先前的回應...
josephine iT邦新手 5 級 ‧ 2018-06-13 14:05:54 檢舉

謝謝mytiny
我發現教會只要WAF,其他沒提供的網路服務應該也不用防吧

josephine iT邦新手 5 級 ‧ 2018-06-21 18:04:33 檢舉

謝謝mytiny
從中華給的資料中確定了SOPHOS有WAF,而FortiGate的沒有,所以就只能選擇SOPHOS了,這是我要的答案
雖然型號書裏建議25人使用,跟預期的100人有很大距離,不過我覺得這段文字可以當作沒看到....><

mytiny iT邦大師 2 級 ‧ 2018-06-22 10:32:44 檢舉

中華說的....小弟就不評論了
倒是可以給樓主真實中肯的建議
設備請他們先來提供測試一下(PoC試用)
看看是否如預期般的效果再決定
避免花大錢買了以後發現與實際需求不同
(尤其樓主以前也沒用過該產品)

正常來說,WAF一放上應該會有很明顯的紀錄與效果
但是也因此會需要極高的技術支援能量
這點應該不是一般電信商能隨便說說就好

PS. Fortinet公司下有Fortigate>防火牆
另個網頁防火牆產品叫 FortiWeb
中華連這個都沒說清楚,嘖嘖...

josephine iT邦新手 5 級 ‧ 2018-06-24 11:28:35 檢舉

謝謝mytiny
不過我也是很委曲的接手別人的東西...宗教團體義務性質的志工通常流動率就...
反正啦就是二選一,也沒錢做其他選擇
剛才去查了FortiWeb的資料,但中華沒這個選項啊

josephine iT邦新手 5 級 ‧ 2018-06-24 11:28:35 檢舉

謝謝mytiny
不過我也是很委曲的接手別人的東西...宗教團體義務性質的志工通常流動率就...
反正啦就是二選一,也沒錢做其他選擇
剛才去查了FortiWeb的資料,但中華沒這個選項啊

mytiny iT邦大師 2 級 ‧ 2018-06-26 12:47:09 檢舉

樓主大大
線路歸線路廠商,設備歸設備廠商
這樣很好不是各歸各的專業嗎 ?

在這段過程中應該已經讓您明顯感受到
提供給您設備資訊的廠商,只是提供價格而已
慎記,買設備記得要買到專業,不然只是浪費錢就可惜了

0
yesongow
iT邦大師 1 級 ‧ 2018-06-12 10:38:40

教會要建立一個網站系統,主要是給分散在全省各鄉鎮的志工跑行政功能!
也公開一些資訊給社會大眾

請分散兩個網站,一個對內提供服務,志工跑行政功能前,請先用VPN撥入,才能登入該網站系統

一個對外服務,公開資訊給社會大眾,並取消登入介面

如果不能分散兩個網站,請在登入介面限定僅允許內網IP及VPN 撥入的IP才可以登入!

這樣就可以有效防止外網、外國、駭客入侵及竄改網站系統資料!

看更多先前的回應...收起先前的回應...
yesongow iT邦大師 1 級 ‧ 2018-06-12 10:40:19 檢舉

登入介面限定僅允許內網IP及VPN 撥入的IP才可以登入!
這是屬於IIS設定or web app設定!

與防火牆無關!

說到入侵偵測,入侵防禦,你必須每日看系統報表!沒空看?等於沒有用!

yesongow iT邦大師 1 級 ‧ 2018-06-12 12:21:40 檢舉

最好網站系統已經虛擬化,這樣子你要幫網站系統做快照,異地備份,資料還原,都會很方便!

好建議,虛擬化跟備份是要的,如沒有維護主機的能力?是不是放類似 GoDaddy、BlueHost這種虛擬主機就可以
不然才一台WEB,要加防火牆,還要加不斷電(電池有天也會沒電)跟吹冷氣,DDOS是看運氣,沒用的PORT一定要關,若遇到勒索或挖礦,就有得忙了

josephine iT邦新手 5 級 ‧ 2018-06-12 18:44:40 檢舉

謝謝yesongow
我知道除了ddos這種大流量的根本擋不住就算了,至少真正的入侵防禦系統會自動擋掉那種常見的測試密碼、攻擊網站弱點、攻擊程式弱點的,這樣就很滿意了,現在就不曉得上面那兩台有沒有能擋這些常見的攻擊><

yesongow iT邦大師 1 級 ‧ 2018-06-14 10:14:04 檢舉

UPS的電池有天也會沒電!

所以請兩年主動更換電池

0
Dickens
iT邦新手 4 級 ‧ 2018-06-12 13:49:00

廠商說法只是讓你比較容易懂,防火牆不是你想的這麼簡單,底下說自己不是專業,上面防火牆就不要說得這麼篤定,當你打開防火牆介面的時候你會發現跟你平常碰的AP完全不同

再來被打到主機說法,這樣說起來微軟根本不用更新一堆漏洞了啊,這些都是打到主機了,
資訊這行業,懂皮毛以及聽到誰誰誰說就當作真理的很多,
就像你說的,教友說了打到主機就沒用,
下一個人跟你聊到你也會這樣說,但是是真是假,那教友不知道,你也不知道,但是這說法就會莫名其妙一直傳下去,
就像現在我很討厭看到的一堆488 1059這種一樣,在我感覺就是想找這種說法讓自己看起來更專業

OK 沒事 抱怨完畢


委外吧,最簡單,伺服器也是要維護跟DEBUG的,
機房你要怎麼處理又是一個問題,
誰維護,出問題誰處理又是一個問題,
多少錢做多少事,架設一個系統,要一個非MIS出身的人來防駭又防癱瘓,
不如把系統上雲端到AWS之類的更方便省事

josephine iT邦新手 5 級 ‧ 2018-06-12 18:40:30 檢舉

謝謝Dickens
這個系統要跟舊的其他系統交換資料,而且內部有舊系統不是走web的,是舊式的Windows程式直接連伺服器,不可能放廠商那,不然舊系統就不能用了。

1
nicelink001
iT邦新手 4 級 ‧ 2018-06-13 13:00:20

雖然 "舊式的Windows程式直接連" 也可將 web 放到 AWS 的 , 只要將來源 IP 鎖死 .....
志工用 VPN 也可將 來源 IP 鎖死 ....
防護 web 的好東西 網頁防置換 是個好辦法 ....

便宜的方式 ... 之前用過 ....
在公家機關 ....每分鐘還原首頁 ...
看是 五星旗掛的快 , 還是還原的快 ....

josephine iT邦新手 5 級 ‧ 2018-06-13 14:08:36 檢舉

謝謝nicelink001
有鎖硬體註冊的系統也能放到AWS嗎?

網頁是從資料庫抓資料的,不是從前那種靜態網頁,應該不能一直蓋回去吧><

硬體註冊的系統 ... 處理的方式就是裝 proxy 在 AWS 讓人家打 ... XD

蓋台被蓋資料庫 ....機會比較少 ... 除了 sql injection
通常公家機關都被換首頁 , 蓋回去只是其中一個方式 ....
公家機關 當然有 WAF 呀 !!!

0
kiki0621ouo
iT邦見習生 0 級 ‧ 2018-06-27 00:25:50

把網站掛在VPS上,再讓cloudflare作保護

我要發表回答

立即登入回答