我公司為一中小企業,使用中華電信網路聯外,這樣我們連網時,不是都會先經過中華電信機房嗎,那意思是說我連網出去,就一定會經過中華電信防火牆,那還需要公司內部建置防火牆嗎? 謝謝各位大大解答!!
已邀請的邦友 {{ invite_list.length }}/5
中華電信的防火牆, 只負責處裡它們員工的上網, 不處理客戶的上網.
所有電信服務公司的防火牆都是同樣原則: 只處裡自己組織內部; 但是...
如果你願意額外付費的話, 它們或許會願意額外幫你提供防火牆服務.
不過, 防火牆並不是唯一的防禦手段, 資安是需要多層次縱深防禦的, 防火牆頂多是十幾道防禦裡的其中一道而已; 你還缺了很多其他的防禦手段.
此外, 防火牆有許多設定需要客製化, 你把防火牆功能託管在別人手上, 最後只是製造自己的麻煩而已, 因為你可能一天到晚要打電話告訴他: 你想要怎麼調整防火牆, 然後客服轉接又轉接, 找不到一位可以聽得懂你在說甚麼的工程師...
謝謝分享,很受益。 再請教一下,小弟公司因客戶提需求,要我們做到如下:
(1)Network Security - 網路有適當隔離設計、存取控制與監控保護機制 Network has isolation design, access control and monitor protection mechanisms.
(2)網際網路存取 (Internet access) 管控機制 - 惡意網站黑名單控管, 執行檔下載控管, 限制檔案/資料上傳, 使用有安全更新的瀏覽器
但我們專業主要在於軟體設計開發,並無法再額外提供人力去做這些事,想請教一下,除了防火牆外,還需要再額外做哪些事情才能符合上面需求呢? 萬分感謝!
建議你這些問題都可以找資安的SI廠商,可以聽聽看對方的規劃、報價
會要求這些的客戶應該是不小的吧,或是政府單位
這些做下去也不是丟了就不管,也是要有持續的維護管理
沒有額外人力就跟廠商談外包維護人力
這種事直接外包就好了,買個硬體放火牆請廠商設到好。
看起來您是軟體開發廠商, 對這個業態來說, 這兩件事情會被展開成:
(1)Network Security - 網路有適當隔離設計、存取控制與監控保護機制 Network has isolation design, access control and monitor protection mechanisms.
(2)網際網路存取 (Internet access) 管控機制 - 惡意網站黑名單控管, 執行檔下載控管, 限制檔案/資料上傳, 使用有安全更新的瀏覽器
所以並不是:
有適當隔離=防火牆
存取控制=防火牆
監控保護機制=防火牆
惡意網站黑名單控管=防火牆
執行檔下載控管=防火牆
限制檔案/資料上傳=防火牆
使用有安全更新的瀏覽器=防火牆
....這樣簡單而已; 而是要把上面那些名詞, 展開成實際的運作情境之後, 再根據對應的情境, 去選擇適當的工具. 例如上面的 1~12 項工作, 實際執行的對策方案可能是:
#1 用 Switch 的 VLAN 來做就可以
#2 用行政命令或者職務定義來做
#3 設計技術堆疊使維運者不需接觸原始碼也能部署和維運
#4 建置一套 Log 收集中心彙整所有行為
#5 設計權限表, 在每一個資源上實施中央集中式授權
#6 導入 EDR/SIEM 監控, 並設計須回報的事件與樣態
#7 導入 802.1x, 防止公司場域外的人, 透過洩波進入內部網路
#8 導入 EDR 或者防毒軟體
#9 導入人員目錄管理系統SSO, 並採用 MFA 方式登入
#10 導入 EDR 或者防毒軟體+防火牆
#11 導入防毒軟體+防火牆
#12 導入資產管理工具, 回報各電腦使用的瀏覽器版本
以上使用的工具, 只有一小部份是在防火牆的工作項目中.
如果你們沒有資安人力可以處理這些的話, 建議找: 能回答以上問題的廠商來協助規劃, 這不會是單買一個設備就可以解決, 他是需要一整套網路規劃, 搭配公司流程和制度來一起完成的.
還是要看客戶要求有多細,一般公司維運團隊來說就是樓上列出的那些項目,但對下包廠商或協力廠商不一定會有這麼高的標準,因為客戶大多沒有文件或實地稽核的權力。
HiNet DDoS 防護服務
HiNet IPS 入侵防護服務
HiNet 企業防駭守門員
以上服務是公司的小烏龜出去到hinet機房(防火牆服務)再連到Internet
資安艦隊是租用設備做上述的服務(設備費用分月攤提,約滿歸客戶)
如公司只上網不架站,甚至用PPPOE連外IP一直換也都OK
不過因應資安需求跟公司預算,都要選一類做
有預算當然自己買防火牆,沒預算租也是選擇
謝謝分享,感謝。 那您提的上面那幾項,如:資安艦隊,就可以一次性達到剛剛(樓上)我提問的問題嗎(可滿足下面需求嗎)?
(1)Network Security - 網路有適當隔離設計、存取控制與監控保護機制 Network has isolation design, access control and monitor protection mechanisms.
(2)網際網路存取 (Internet access) 管控機制 - 惡意網站黑名單控管, 執行檔下載控管, 限制檔案/資料上傳, 使用有安全更新的瀏覽器
如樓下回覆,這些都是基本功能,但需跟中華電信工程師溝通設定的內容
可以看一下這篇最新的報導
中華電信傳出資料外洩,我國國安單位內部資料流入暗網
看完後相信你會再慎重考慮一下託管給中華XX
(1)Network Security - 網路有適當隔離設計、存取控制與監控保護機制 Network has isolation design, access control and monitor protection mechanisms.
(2)網際網路存取 (Internet access) 管控機制 - 惡意網站黑名單控管, 執行檔下載控管, 限制檔案/資料上傳, 使用有安全更新的瀏覽器
這些部分只要是現在的次世代防火牆都能做到,應該找專業的廠商規劃
根據以上所有訊息
如果找中華XX艦隊會無法達到你的期望
主要因為他們都是被動服務(通常不會很即時)
而你需要的是能及時給予支援的服務
聘僱有熟防火牆的MIS網管會最好
如果覺得應付客戶要求,不想花太多預算
推薦您找熟悉Fortinet資安鐵三角方案作完整諮詢
也可以看網管人員最常見的六大問題
自己有採用該方案覺得還不錯,特別是
Network has isolation design, access control and monitor protection mechanisms.
按敘述應該都能符合您的要求
建議您,軟體設計開發一樣需要重視資安
任何公司基礎網路建置資安管理更為重要
屬於公司必要的投資項目
可以看一下這篇最新的報導
中華電信傳出資料外洩,我國國安單位內部資料流入暗網
看完後相信你會再慎重考慮一下託管給中華XX
iThome鐵人賽
看影片追技術