防火牆推薦及架設

防火牆

jimmy8667104 2023-10-12 15:03:02 ‧ 3712 瀏覽

分享至

各位大大好!
小的公司這幾個月NAS一直被攻擊，拔除NAS一段時間後復原沒多久還是被攻擊，所以小的想安裝防火牆。
但奈何公司不大大概6人左右使用的電腦大概也8台左右，也都是用WIFI做傳輸，網路中華大概是300M的。
所以想詢問我是要裝硬體防火牆還是軟體防火牆呢?
硬體的沒啥理念知道的廠家就Fortinet
軟體的也沒什麼在研究有爬文說Avast
但軟體的要兩張網卡做串接。
需要甚麼資訊請提出。感謝

看更多先前的討論...收起先前的討論...

竹本立里 iT邦好手 1 級 ‧ 2023-10-12 15:39:39 檢舉

門神語錄
買什麼設備都可以,重點要能找得到服務的人

PIZZ iT邦新手 1 級 ‧ 2023-10-12 16:32:18 檢舉

DSM本身有防火牆，在安全性裡面可以啟用

無敵舔金剛 iT邦新手 5 級 ‧ 2023-10-12 17:44:11 檢舉

建議買硬體的，市面上常見的四款防火牆，同款的價格Palo Alto>Fortinet>Sophos=Juniper，

Cisco Secure Firewall、Nokia 防火牆...等等就稍微冷門點兒...

以操作來說，還是推薦Fortinet較好上手....

防火牆建議買硬體式的，因為硬體防火牆擁有自己的獨立作業系統，因此，軟體防火牆在電腦遭入侵時可能遭受的一些攻擊較不易發生。且硬體式防火牆較不易發生零組件故障問題...

froce iT邦大師 1 級 ‧ 2023-10-13 13:52:53 檢舉

沒錢要自己搞的話建議自己弄台電腦或小主機配多張網卡搞opnsense/pfsense。
Avast那種是個人電腦的防火牆軟體，跟閘道式的不同。你需要的是閘道式的。

有錢當然是直接買硬體防火牆，易用度/支援/資源都不同等級。

zyman2008 iT邦大師 6 級 ‧ 2023-10-15 09:29:16 檢舉

"但奈何公司不大大概6人左右使用的電腦大概也8台左右"
不太想潑您冷水, 但卻可能是事實.
直覺以貴司的規模, 在預算上不容易找到對的人服務.
要防禦就得先分析攻擊表面, 評估可行的防禦的方式.
而且重點在不是一次性, 而是持續性.
這樣的投資中小企業大概都花不起. 就算要自己DIY, 也養不起有這樣 domain know how 的人.

防禦: 防火牆也只是其中之一而已, 光是"防火牆", 功能就又分了一堆層級.
IP 層, 應用層, 可客製規則的細緻度.

這邊先簡單的引導給個方向:
第一步, 先自問是否對現在的系統使用範圍清楚 ? 先盤點現在這個系統上的服務, 並分類.
哪些服務是需要服務外部客戶
哪些服務是不需要服務外部客戶(內部員工, 或協力廠商)
哪些服務是只有管理員可使用的

如果結果是, 只有內部員工和管理員要使用.
針對目前您描述的徵狀, 確實利用防火牆的存取管制規則 + VPN 遠端存取.
是 CP 值較高的短期投資.

Nick iT邦新手 5 級 ‧ 2023-10-17 10:21:46 檢舉

最近買了一台 Dream Machine Pro 當作路由, 簡易防火牆使用, WatchGuard 的 Firebox. 也不錯

NAS 建議使用 Vpn(OpenVpn) , 然後防火牆設定規則再連線回來使用.
https://www.youtube.com/watch?v=NILR6qzqK7c 這個影片就有做教學

如果真的買了要記得把主機的 OS 更新到最新, 不然 Network 抓不到最新的版本.

Ps. 其實你真的需要的就只是一台可以給妳安全 Vpn 的方式而已, 畢竟你沒有要對外, 買哪台都一樣

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

7 個回答

林門神JanusLin

iT邦超人 1 級 ‧ 2023-10-12 15:36:24

給你參考
Vigor2135
NFW-460

回應 1
分享
檢舉

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-12 16:25:26 檢舉

這是硬體的0.0 感謝您我看看~

登入發表回應

sd3388

iT邦好手 1 級 ‧ 2023-10-12 15:37:29

如果是因為一直被攻擊
你要買設備之前最主要問的是賣你的廠商
他有沒有辦法幫你擋下NAS的攻擊

因為你沒說攻擊的細節
我就所知道的FG-40F可以做到以下的事情

AV的防護：如果你NAS有開mail服務且用pop3
IPS防護：一些特徵攻擊，含http,ftp,pop等暴力登入，且能封鎖來源IP做持續攻擊
DDoS攻擊：防護惡意攻擊含對防火牆本身的攻擊
NAS登入限制，含來源及帳號登入等
設備准入辨識，避免公司被不明設備連入網路
注意NGFW的速度，IPS有1G，看看夠不夠用

借用某大神的話：
重要不是買，而是找到能幫忙的廠商
你經費不多，這點更重要

回應 10
分享
檢舉

看更多先前的回應...收起先前的回應...

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-12 16:24:09 檢舉

這是NAS給我的日誌我直接附圖這支是一部份大概有好幾千筆或萬筆八，每次攻擊IP不同。

mathewkl iT邦高手 1 級 ‧ 2023-10-12 17:32:14 檢舉

把NAS對外全部關閉
只允許內網訪問

sd3388 iT邦好手 1 級 ‧ 2023-10-12 17:45:18 檢舉

我幫你查了一下，IP都是國外的
你可以這樣做

只允許內網IP連線，然後外面要用VPN連進來
外部限制來源IP僅台灣地區(Forti可做到)
除上述1,2點不管誰登NAS，多加一層身分認證(fortitoken)

補覺鳴詩 iT邦高手 1 級 ‧ 2023-10-12 20:52:11 檢舉

不是應該先釐清為什麼你要直接讓 NAS 暴露在網路上
如果真的有需求裝防火牆一樣讓他暴露在網路上
那裝不裝防火牆根本沒差

最常見的用法
是過 VPN 才能夠 access NAS
至於誰來跑 VPN 搞不好 NAS 自己就能做
eg. https://kb.synology.com/en-br/DSM/tutorial/How_do_I_set_up_my_Synology_NAS_as_a_VPN_server

sd3388 iT邦好手 1 級 ‧ 2023-10-13 09:56:45 檢舉

誰說 NAS 暴露在網路上，裝不裝防火牆根本沒差?
你防火牆觀念未免也太陳舊了
現代的NGFW除了可以限制來源外
對於內容層還可以做很多檢測
防毒、防入侵都是最基本的
如果是Fortigate還有Virtual patching的功能
方法及功能很多的
所以才說能配合的廠商很重要

GJ iT邦好手 1 級 ‧ 2023-10-13 14:33:54 檢舉

看你的圖都是admin被試帳密，先自己建個新管理員帳號吧
不要使用admin , administrator這種常用的命名
建好後admin停用

sd3388 iT邦好手 1 級 ‧ 2023-10-13 16:04:35 檢舉

他都說了這只是一部分
難道你改成其他帳號人家就不來搞暴力登入或撞庫攻擊嗎
資安防護是多面向的
簡單說通訊埠共有65535個
其他攻擊是因為沒防火牆紀錄所以只是沒看到而已
我猜這個IP早已被駭客註記是可攻擊的目標(BoT)
駭客會繼續用程式甚至AI一直嘗試(反正又不用人做)
如果沒法讓他們不能繼續TRY(比如用IPS封鎖)
那就會一直TRY到攻陷為止

補覺鳴詩 iT邦高手 1 級 ‧ 2023-10-14 08:39:02 檢舉

誰說 NAS 暴露在網路上，裝不裝防火牆根本沒差?
你防火牆觀念未免也太陳舊了

樓主遇到的問題首先就是開 DDoS
但這只有稍微緩解問題總有一天還是會被 try 出帳密
並沒有從根本解決問題
IP limit 台灣也不能保證絕對排除掉威脅
一樣緩解問題沒解決問題

樓主還是需要一台防火牆這點沒錯
但根本解決知道還是要先知道自己為何要這樣定策略

sd3388 iT邦好手 1 級 ‧ 2023-10-14 13:47:13 檢舉

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-17 09:39:35 檢舉

目前admin帳戶已停用，因為公司員工時常會出差，所以資料都丟在NAS，所以才會開啟對外，我的想法也是開VPN，防火牆的設定等，我可以慢慢學和理解。

登入發表回應

supermaxfight

iT邦研究生 4 級 ‧ 2023-10-13 08:37:32

https://kb.synology.com/zh-tw/DSM/tutorial/I_allowblock_with_regioncountry_IP_but_some_IP_from_that_regioncountry_still_can_access_the_NAS
群輝NAS的防火牆功能做到限制國家
我這邊是只允許內網

回應 1
分享
檢舉

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-17 09:40:01 檢舉

我研究研究

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2023-10-13 12:06:52

Fortinet 首選無誤,

你隨便買個二手的60D都應該可以了

可能對比你買個新的家用路由WIFI還要便宜

你可以不給NAS直接外放

再來FORTIGATE上搞個SSLVPN

到NAS前先登入SSLVPN就好

登入SSLVPN層面也可限制源IP的地域

SSLVPN也支持WEB MODE, 可以直接在FORTIGATE WEB頁面操作NAS

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-17 09:40:45 檢舉

Fortinet 這家一直都是首選，但貴~~~二手的話0.0，本人找設備不太喜歡二手哈

bluegrass iT邦高手 1 級 ‧ 2023-10-17 09:54:09 檢舉

那你挑老婆一定要處女的喔?

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-17 10:08:00 檢舉

不太一樣，主要是二手對方要可以開發票，不然公司不報帳阿，全新和二手價差一倍，能二手當然好，但基本上.....不太能開

bluegrass iT邦高手 1 級 ‧ 2023-10-17 12:52:20 檢舉

所以最後你們不就要處女嘛? 沒錢只能抓二手的.

登入發表回應

codenoob

iT邦新手 5 級 ‧ 2023-10-13 16:10:49

方案1:
Cloudflare Tunnel這個方案可以試試，需要先準備一組域名，但是有Free tier，如果覺得不夠猛可以加錢買他們的高階方案。

傳送門:
https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/

架構圖

裡面有這張架構圖，把Your server換成NAS server，都配置好之後，會由Cloudflare's Network來保護你的NAS，並且你可以再配置一些Policies，這邊就看原PO要不要花點時間研究囉!

傳送門:
https://developers.cloudflare.com/cloudflare-one/policies/

方案2:
找一個主機(可以找低功耗多網路卡的小主機)，要在上面安裝VyOS這一套Linux distribution並且作配置，需要花時間折騰，如果這樣沒問題的話，再往下看吧!

安裝VyOS，請先看這邊的文件
https://docs.vyos.io/en/latest/installation/index.html

VyOS官方網站:
https://vyos.io/

回應 1
分享
檢舉

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-17 09:41:41 檢舉

感謝我來看看剛好我不缺的就是時間

登入發表回應

唬爛

iT邦好手 1 級 ‧ 2023-10-14 20:45:29

我是使用Endian社群版(免費)
https://www.endian.com/company/news/new-endian-community-release-3325-303/
拿一台電腦(不需高規格)+4Port網卡，即可規劃出WAN、LAN、DMZ、wifi，四個區域
有興趣再細聊

回應 8
分享
檢舉

看更多先前的回應...收起先前的回應...

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-17 10:07:19 檢舉

我先找一張4Port網卡哈

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-19 18:06:34 檢舉

唬爛我已下載免費版燒入為USB，以USB做開機執行後...一直在BBB叫，我卡關了

唬爛 iT邦好手 1 級 ‧ 2023-10-20 03:28:49 檢舉

卡關？
先確認硬體是否正常？
再確認USB開機成功？太久沒安裝，安裝畫面類似Linux
此軟體非常容易安裝！可Google
有難度的地方是設定與防火牆規則！但有網路底子？應該不會被困住

jimmy8667104 iT邦新手 5 級 ‧ 2023-10-20 10:22:30 檢舉

唬爛好，設定問題再請教您

唬爛 iT邦好手 1 級 ‧ 2023-10-20 18:08:16 檢舉

其實安裝完成後
防火牆會有數種類型(圖表)給你參考
如果不嫌麻煩？可以每種類型，截圖後列印，你比較容易理解與討論
另，如果你是4Port網卡？4個zone
WAN直接接數據機
LAN、DMZ(看你要不要與LAN實體隔離)各自接Switch
wifi？就看你是否要與LAN實體隔離？
實務上我只使用WAN與LAN