請問hinet的資安艦隊跟頻寬夠不夠

入侵防禦網站安全資安艦隊

josephine 2018-06-12 01:01:31 ‧ 4275 瀏覽

分享至

是這樣的，教會要建立一個網站系統，主要是給分散在全省各鄉鎮的志工跑行政功能，也公開一些資訊給社會大眾，志工的點很分散，大約30個點，一個點約1~4人，預估同時上線人數在90到100人左右，公開網站的人不算在內

廠商建議用hinet的資安艦隊，現在申請的有送一台SOPHOS XG105，廠商說這是入侵防禦系統，但我上網查都說這台是防火牆，不是擋入侵的機器。
另一個選擇是FortiGateFortiGate -80E，但有資料說這台適合25人而已
兩台搭中華的月租都差不多

我知道防火牆就只是能管理進出走的路線而已，被打的時候也是笨笨的把攻擊轉進來，只有真正的入侵防禦系統才有AI能判斷是不是真的被駭客了，才會真的擋下來
廠商說網站那台主機還要裝一個SOPHOS的軟體就能擋入侵了，但有教友說真的擋害客都在網路上擋，被打到主機時什麼軟體都沒用，所以廠商說的我很擔心，但又沒足夠的專業去質疑，好慘><

我想請問大家，這兩台那台才真的能阻擋害客？
還有就是，裝置的原廠都建議只25人了，當100人同時連線時，會不會卡住啊？
線路還沒決定用100\100或者是500\250但感覺100人每人分到1mb應該夠，網頁另存完整檔案，平均一頁含圖只有半mb，不過這只是我自己想的
最後就是，萬一上面兩台都不能擋，能讓100人同時連線的流量的網站防禦設備一台多少錢？

謝謝大家

看更多先前的討論...收起先前的討論...

q00153 iT邦新手 3 級 ‧ 2018-06-12 08:59:37 檢舉

俺會請向於使用 Google 的 GCE 或亞馬遜的 AWS 來架站，兩間都有提供基本的 DDOS 防護，GCE 好像還能訂製，AWS 不了解，但是比起自己買硬體跟網路架設網站，我覺得大公司的伺服器安全性或穩定性都是自己弄不能比較的，除非是大公司，有專業 IT 團隊，而且資料有其機密性，比如商業技術資料，或者財務資料等等...

竹本立里 iT邦好手 1 級 ‧ 2018-06-12 09:49:27 檢舉

這兩台那台才真的能阻擋害客？
兩台都可以 ,兩台也都不行

就像是哪家保全公司可以擋掉流氓去破壞教會?? 要看流氓的攻擊力跟人數才有辦法評估呀

yesongow iT邦大師 1 級 ‧ 2018-06-12 10:35:04 檢舉

你是要擋住駭客入侵？還是要擋住癱瘓流量？
方向不同，解決方式也不同！

㊣浩瀚星空㊣ iT邦大神 1 級 ‧ 2018-06-12 10:43:14 檢舉

其實，沒所謂真正的擋住。ddos跟入侵是兩種不同領域的東西。
前著是你買任何機器都沒用的。要買頻寬跟流量。
後著則是除了看機器等級跟你的設定方式。因為設定太嚴格會增加麻煩性。設定太寬則有買跟沒買一樣。

一般來說，真正要可以好好擋駭客的機器，機器少說也得要10開頭以上。
且還需要搭配會控管的人員。這只有在非常大的公司，才會去考量這樣的預算。

基本上，如果預算不到10萬的話。你可以不需要考量這一堆。
或是直接採用外部主機來幫你也行。

黃彥儒 iT邦高手 1 級 ‧ 2018-06-12 10:49:14 檢舉

請善用雲端服務....不要用隨便打隨便沉的資安艦隊

hsiang11 iT邦好手 1 級 ‧ 2018-06-12 11:05:11 檢舉

我覺得樓主想的太複雜了防駭客是能力和設備疊出來的結果少了一樣都還是會被打趴
以你的需求就只是公開網站全開放在internet
然後志工的行政需求(後台?)就是在網站上限IP連線，全部志工的點都要申請光纖，在另外申請1固ip需求
這是在web端就該做到的，
而且根本不會有人想去駭教會吧又不是isis

純真的人 iT邦大師 1 級 ‧ 2018-06-12 17:45:02 檢舉

感覺被唬來的...

josephine iT邦新手 4 級 ‧ 2018-06-12 18:48:18 檢舉

因為被打過所以會擔心，之前就被對岸的改過首頁.....><

啊！所以上面這兩台，有人用過嗎？我還以為資安艦隊很多人用@@

josephine iT邦新手 4 級 ‧ 2018-06-12 18:49:26 檢舉

我現在面臨決定用哪台的問題.....改系統架構應該沒可能的

facers iT邦新手 3 級 ‧ 2018-06-13 09:54:55 檢舉

先不說這個資安服務，你可以說說你網站系統怎麼架的？程式怎麼確保不會有漏洞，用資安艦隊不代表可以幫你的網站或系統漏洞補起來，即使你今天用CheckPoint也沒辦法阻止你的網站被入侵。

josephine iT邦新手 4 級 ‧ 2018-06-13 14:16:31 檢舉

謝謝facers
只要能擋大部分程式設計師的漏洞就好了，萬一還是被打再說
我相信現代廠商應該能把常見的都擋9成吧，最新手法就算了，反正應該不會有人針對教會，但過去的網站用很古早的asp寫的，網路上很多自動化的程式都能鑽進來就太扯了
看到密碼欄位，用一樣的密碼儲存的編碼後的那串每次都一樣，就知道廠商的資安功力....@@ 反正我也沒權利換廠商，就只能就現有環境幫忙補洞了
只希望WAF能讓洞少一點就上帝保佑了

josephine iT邦新手 4 級 ‧ 2018-06-13 14:18:46 檢舉

謝謝黃彥儒
但是沒錢進機房啊，進機房對現有行政作業影響太大，只要防網站就簡單多了

逢摸必爆MIS iT邦研究生 3 級 ‧ 2018-06-14 09:42:05 檢舉

改首頁這種事情是操作者導致的吧 ...
該不會是被改成hao123

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

mytiny

iT邦超人 1 級 ‧ 2018-06-12 21:59:02

最佳解答

以下是小弟個人的看法，供樓主您參考：

樓主應該要知道，這兩台都不是單純的防火牆
因為其內都含有對內容層級的資安防護
網路安全防護的好與壞，單看產品很難比較出來
可是服務貴單位的廠商對設備的熟悉程度與技術能力
卻會很直接的決定您防護的成效

如果一個廠商，連設備的功能都說不清楚
也沒辦法將產品的實際成效做一些真正的展示
樓主就算買了"無敵鐵金剛"只怕也起不了什麼防護作用
這樣應該知道你該換的是什麼了吧
請做正確的抉擇

最後，很誠心地提醒樓主
因為您要防護的是一個網站系統
所以您應該不是要買"防火牆"
您需要買的是一個"網頁防火牆"，英文 WAF
請到Google搜索並了解一下(網頁防置換)

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

josephine iT邦新手 4 級 ‧ 2018-06-13 14:05:54 檢舉

謝謝mytiny
我發現教會只要WAF，其他沒提供的網路服務應該也不用防吧

josephine iT邦新手 4 級 ‧ 2018-06-21 18:04:33 檢舉

謝謝mytiny
從中華給的資料中確定了SOPHOS有WAF，而FortiGate的沒有，所以就只能選擇SOPHOS了，這是我要的答案
雖然型號書裏建議25人使用，跟預期的100人有很大距離，不過我覺得這段文字可以當作沒看到....><

mytiny iT邦超人 1 級 ‧ 2018-06-22 10:32:44 檢舉

中華說的....小弟就不評論了
倒是可以給樓主真實中肯的建議
設備請他們先來提供測試一下(PoC試用)
看看是否如預期般的效果再決定
避免花大錢買了以後發現與實際需求不同
(尤其樓主以前也沒用過該產品)

正常來說，WAF一放上應該會有很明顯的紀錄與效果
但是也因此會需要極高的技術支援能量
這點應該不是一般電信商能隨便說說就好

PS. Fortinet公司下有Fortigate>防火牆
另個網頁防火牆產品叫 FortiWeb
中華連這個都沒說清楚，嘖嘖...

josephine iT邦新手 4 級 ‧ 2018-06-24 11:28:35 檢舉

謝謝mytiny
不過我也是很委曲的接手別人的東西...宗教團體義務性質的志工通常流動率就...
反正啦就是二選一，也沒錢做其他選擇
剛才去查了FortiWeb的資料，但中華沒這個選項啊

josephine iT邦新手 4 級 ‧ 2018-06-24 11:28:35 檢舉

mytiny iT邦超人 1 級 ‧ 2018-06-26 12:47:09 檢舉

樓主大大
線路歸線路廠商，設備歸設備廠商
這樣很好不是各歸各的專業嗎 ?

在這段過程中應該已經讓您明顯感受到
提供給您設備資訊的廠商，只是提供價格而已
慎記，買設備記得要買到專業，不然只是浪費錢就可惜了

登入發表回應

yesongow

iT邦大師 1 級 ‧ 2018-06-12 10:38:40

教會要建立一個網站系統，主要是給分散在全省各鄉鎮的志工跑行政功能！
也公開一些資訊給社會大眾

請分散兩個網站，一個對內提供服務，志工跑行政功能前，請先用VPN撥入，才能登入該網站系統

一個對外服務，公開資訊給社會大眾，並取消登入介面

如果不能分散兩個網站，請在登入介面限定僅允許內網IP及VPN 撥入的IP才可以登入！

這樣就可以有效防止外網、外國、駭客入侵及竄改網站系統資料！

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

yesongow iT邦大師 1 級 ‧ 2018-06-12 10:40:19 檢舉

登入介面限定僅允許內網IP及VPN 撥入的IP才可以登入！
這是屬於IIS設定or web app設定！

與防火牆無關！

說到入侵偵測，入侵防禦，你必須每日看系統報表！沒空看？等於沒有用！

yesongow iT邦大師 1 級 ‧ 2018-06-12 12:21:40 檢舉

最好網站系統已經虛擬化，這樣子你要幫網站系統做快照，異地備份，資料還原，都會很方便！

不要問我充電要多久 iT邦新手 2 級 ‧ 2018-06-12 15:03:02 檢舉

好建議，虛擬化跟備份是要的，如沒有維護主機的能力?是不是放類似 GoDaddy、BlueHost這種虛擬主機就可以
不然才一台WEB，要加防火牆，還要加不斷電(電池有天也會沒電)跟吹冷氣，DDOS是看運氣，沒用的PORT一定要關，若遇到勒索或挖礦，就有得忙了

josephine iT邦新手 4 級 ‧ 2018-06-12 18:44:40 檢舉

謝謝yesongow
我知道除了ddos這種大流量的根本擋不住就算了，至少真正的入侵防禦系統會自動擋掉那種常見的測試密碼、攻擊網站弱點、攻擊程式弱點的，這樣就很滿意了，現在就不曉得上面那兩台有沒有能擋這些常見的攻擊><

yesongow iT邦大師 1 級 ‧ 2018-06-14 10:14:04 檢舉

UPS的電池有天也會沒電！

所以請兩年主動更換電池

登入發表回應

逢摸必爆MIS

iT邦研究生 3 級 ‧ 2018-06-12 13:49:00

廠商說法只是讓你比較容易懂，防火牆不是你想的這麼簡單，底下說自己不是專業，上面防火牆就不要說得這麼篤定，當你打開防火牆介面的時候你會發現跟你平常碰的AP完全不同

再來被打到主機說法，這樣說起來微軟根本不用更新一堆漏洞了啊，這些都是打到主機了，
資訊這行業，懂皮毛以及聽到誰誰誰說就當作真理的很多，
就像你說的，教友說了打到主機就沒用，
下一個人跟你聊到你也會這樣說，但是是真是假，那教友不知道，你也不知道，但是這說法就會莫名其妙一直傳下去，
就像現在我很討厭看到的一堆488 1059這種一樣，在我感覺就是想找這種說法讓自己看起來更專業

OK 沒事抱怨完畢

委外吧，最簡單，伺服器也是要維護跟DEBUG的，
機房你要怎麼處理又是一個問題，
誰維護，出問題誰處理又是一個問題，
多少錢做多少事，架設一個系統，要一個非MIS出身的人來防駭又防癱瘓，
不如把系統上雲端到AWS之類的更方便省事