iT邦幫忙

0

Fortigate 30E 防火牆 產品保固已過期 會不安全嗎? in FortiOS v5.6.7

Fortigate 30E 產品保固已過期
沒有更新病毒碼 和 防火牆版本
不知道會不會有什麼問題
有請資安廠商報價,金額有點高出預算

另外請教
在 FortiOS v5.6.7版本 要如何知道目前有多少使用者連上VPN ?
是在 FortiViem LAN/DMZ Sources 嗎?

看更多先前的討論...收起先前的討論...
leezo2488 iT邦新手 5 級 ‧ 2019-02-14 10:17:23 檢舉
各位好
昨天有跟FORTIGATE經銷商購買了產品保固及相關保護功能(這些功能我都會操作)

還有
卡巴斯基 小企業全方位安全軟體 安裝於PC及Server
並聘請專業IT人員於每周三檢查網路安全
leezo2488 iT邦新手 5 級 ‧ 2019-02-14 10:22:53 檢舉
合約過期前一直都有在設定網路安全的部分
後來發現 其實不需要購買產品"功能"
可以直接在操作介面中使用CLI Console方法來設定各項安全防護
所以過期後就沒有再續約了
但後來想想 因為保固過期 防火牆就不會更新版本及病毒特徵 不知道會不會有什麼影響 所以就來問問看
mytiny iT邦大師 1 級 ‧ 2019-02-14 15:29:03 檢舉
在下比較雞婆,請見諒!
FG-30E沒有內部硬碟,因此不會有超過一個小時的Fortiview
更不幸的是,如果沒有開啟Forticould
可能除非是有資安事件,不然連session log都沒有
因此,當沒有買相關資安服務授權時會更慘
IPS需要時時觀看紀錄,並針對detected要盡快處理
網頁挖礦病毒除IPS外,還需要網頁過濾配合處理
這些"功能",沒花錢,不會設,沒天天去管它,就一點用都沒有
樓主論壇上表述的,顯示還沒了解Fortigate
提供設備的廠商也只是賣
只要PC跟server之間沒經過防火牆
按ISO27005資安風險係數就是很高
leezo2488 iT邦新手 5 級 ‧ 2019-02-15 17:22:18 檢舉
mytiny
你好
目前一直都有使用Forticould
有2GB的雲端空間可以儲存日誌並保存1年
日誌包含異常流量、異常IP、外部IP連線以及大部分被攔截的病毒的資訊
而且能依照著Security Fabric Audit的安全建議來設定網路安全
或者直接讓程式自行修復漏洞

IPS一直都有隨時在監視 有1台筆電一直都在看 並設定筆電警報鈴聲(手機簡訊及Email)

那4種外加功能 是屬於快捷設定
意思是說能透過簡單易懂的畫面來快速設定
但也能透過CLI Console輸入指令來設定防護功能 但我背不起來 所以都邊看書邊設定

"提供設備的廠商也只是賣"
這句話我很同意 因為.....經銷商那邊真的沒在管
就只丟全英文說明書給我 要我自己看 不然就直接連絡原廠(國外)
所以目前學習的方式都是透過全英文的說明書...
只有到合約到期的時候才會打給我 問我要不要續約
mytiny iT邦大師 1 級 ‧ 2019-02-15 20:02:44 檢舉
給樓主leezo2488大,啪啪手、鼓掌說聲讚
已經非常不容易了
接下來把下面做好就算入門了

**只要PC跟server之間沒經過防火牆
按ISO27005資安風險係數就是很高**
leezo2488 iT邦新手 5 級 ‧ 2019-02-15 22:25:31 檢舉
mytiny
你好

中華電信數據機後面接防火牆
防火牆後面接
P1:監視保全系統
P2:PC
P3:Server
P4:空著

目前是這樣接
不知道有無建議
mytiny iT邦大師 1 級 ‧ 2019-02-16 22:36:21 檢舉
FG-30E上的Port1~Port4被定義為switch
也就是說這4個port在同一個網段
更直接的說,就是保全、PC、Server泡在一起
所以樓主雖然分開來接,其實彼此間並沒有任何防護作用
因為手邊沒30E的設備,
沒法幫樓主測試看能不能將這這4個口分別獨立
最好能分開設成不同的網段,再用防火牆政策檢核互通

如果可能,建議樓主可採購FortiSwitch
這樣可以達成交換器上每Port獨立防護的可能
限於篇幅,如樓主有興趣可另開題目討論之
leezo2488 iT邦新手 5 級 ‧ 2019-02-20 08:48:19 檢舉
感謝
1
mytiny
iT邦大師 1 級 ‧ 2019-02-12 22:03:20
最佳解答

樓主如果當初買了病毒碼跟入侵防禦防護
有發揮它的功能嗎?
還是放在那邊當擺飾,
看到有問題的LOG有去查明前因後果來防範嗎?
如果都沒有做
建議您還是不要花這個錢吧

有太多的使用者,以為有防毒防入侵的資料庫就好
因此對於Fortigate這樣的資安產品
居然功夫花的都是在網路層面而非資安層面
這幾年看論壇下來的結果幾乎都是這樣
不是問怎樣連通,要不就是VPN或流量負載怎樣走
也難怪市場上的銷售不用懂資安,會殺價就好
一台FG-30E的資安服務授權會能有多貴
會貴過公司寶貴的資料價值嗎?

leezo2488 iT邦新手 5 級 ‧ 2019-02-13 06:01:59 檢舉

感謝

5
raytracy
iT邦大神 1 級 ‧ 2019-02-12 15:11:11

沒有持續更新的防火牆, 就只能當成一台昂貴的 IP 分享器而已, 沒有偵防能力...

froce iT邦高手 1 級 ‧ 2019-02-13 15:35:38 檢舉

可以借這篇問一下幾個關於防火牆的問題嗎?
公司約300台個人電腦連線:
1.防火牆能做到計算每台電腦的對外流量(內網不算)並告警嗎?曾經因網頁疑似被植入挖礦病毒造成流量過大,但因無法統計被總公司警告...
2.因公司上層網路還有總公司proxy,入侵偵測是否有其必要性?
3.以我們這種規模需要買到什麼型號的防火牆?希望不要因防火牆不穩造成網路常斷線。

防火牆買了反而不會用在網路的限制和封鎖上,總公司proxy做了,我最需要的應該是流量統計和告警。

ak02 iT邦研究生 3 級 ‧ 2019-02-14 13:54:21 檢舉

我司已經中了該病毒,蛋痛到死了。

h1324512 iT邦新手 5 級 ‧ 2019-02-19 13:20:49 檢舉

看fortinet上的fortiview就知道誰的流量有問題了

0
Sergeyau
iT邦研究生 3 級 ‧ 2019-02-12 23:35:52

Fortigate 30E 產品保固已過期
沒有更新病毒碼 和 防火牆版本
不知道會不會有什麼問題
有請資安廠商報價,金額有點高出預算

提到病毒碼那原本保固應該是有包括防毒跟入侵防禦防護,這兩點若沒有更新的話其實效用極為有限,因為新的威脅層出不窮,必須定期更新防毒和入侵防禦防護,檢視log調整IPS。

預算是重要考量,但花了錢沒有讓它發揮效用,非常可惜,預算也會越來越小,因為老闆看不出錢投下去有什麼用。

leezo2488 iT邦新手 5 級 ‧ 2019-02-13 06:02:11 檢舉

感謝

0
hsiang11
iT邦研究生 4 級 ‧ 2019-02-13 16:26:34

樓上都說得很好
非常多公司買fortigate真的就是只用在網路上
資安的部分算根本沒人在管
像買了防火牆實體當作IP分享器 沒買防毒等授權
也沒在更新 但是會不會出問題?
老實說還真的有沒出啥包的公司 資安意識低落到不可思議

我猜貴公司應該也是沒買forti的防毒,只用網路控管部分
E系列算很新的系列 也更新到5.6算有基本盤在
那在預算不足的狀況下 就是評估公司的產業類型的影響程度
例如公司一家小賣店 只有POS 那需要專業防火牆嗎?
拔網路線沒在上網沒更新過也從沒中過毒

但是如果公司是靠IT技術賣客戶在賺錢的 不是只有一個沒人要看的官網放在內部
那情況就不同了 如果倒了誰要擔責任? 責任歸屬是非常重要的
如果自己掛了IT職 就要努力的推資安不要開玩笑
甚至公司會有一堆來造反的人 因為會花掉不少錢(老闆反你)
和造成某些人作業上的麻煩(主管級反你)
如果打這些人的臉老闆還無法反省
那就要自己準備撤退了

所謂的資安 只看公司重不重視
不重視的就要反觀自己的修復能力
認為自身難保要想想未來處境
就拿防毒這塊來說 防火牆沒有防毒 那電腦有買防毒也是可以
其實我擔心的不是中毒
而是中了無法修復的勒索病毒

hsiang11 iT邦研究生 4 級 ‧ 2019-02-13 17:10:20 檢舉

另外一點補充
我有升過6.0的原因 是因為想看看新版又增加什麼功能
而不完全是資安因素
但是升級新版反而因bug出問題 解問題解到很頭大
廠商說你幹嘛把它升級XD
但是其實我認為要做IT就是要多摸 遇到問題解就對了
例如用過fortios 5.2~6.0就不用客氣寫在履歷表內給人看
剛好有需要的公司就有機會看到你

這其實就已經不是資安層面的更新
而是隨時做好逃難的準備

我要發表回答

立即登入回答