iT邦幫忙

0

公司防火牆資安問題?

  • 分享至 

  • xImage

我公司為一中小企業,使用中華電信網路聯外,這樣我們連網時,不是都會先經過中華電信機房嗎,那意思是說我連網出去,就一定會經過中華電信防火牆,那還需要公司內部建置防火牆嗎? 謝謝各位大大解答!!

看更多先前的討論...收起先前的討論...
PIZZ iT邦新手 1 級 ‧ 2024-02-29 17:06:14 檢舉
你有買資安艦隊才會有資安相關服務...

你用中華網路是經過他們的電信機房,然後連線到網際網路去;中華自家的防火牆是給他內部環境/服務使用,或是有買資安服務的客戶用的


如果照你那樣理解,那個人上網用的ADSL和光世代/手機的3~5G也都經過中華的機房,所以都會有免費防火牆保護囉?但...實際上有嗎? XD
mathewkl iT邦高手 1 級 ‧ 2024-02-29 18:00:22 檢舉
除非買服務不然中華不主動抵擋,政府要求的論外,被法院判決的網站會主動阻擋。
hsiang11 iT邦好手 1 級 ‧ 2024-02-29 23:25:21 檢舉
如果你是公司的IT的話 這觀念慘了
防火牆還是自家IT管會比較好 只有願意花時間下去搞防火牆的
而且了解自家環境的IT才可防禦更多問題
跟電信商買資安服務 也大多只能買到一些IPS入侵偵測的功能
但是問題的根源難解
大多數中小不願意投資在資訊人力
所以還是管理漏洞滿滿 廠商也不會願意懂你環境
只能all to all基本全開放
harry731 iT邦新手 2 級 ‧ 2024-03-01 08:15:41 檢舉
這算盤打得可真精阿!!!
該不會貴司正在或是已經把公司的網通相關都外包了吧?
而且還是以價格決定廠家而不是性價比
打雜工 iT邦研究生 1 級 ‧ 2024-03-01 09:35:39 檢舉
當然需要啊,自己的安全自己把控還是比較好的選擇
sd3388 iT邦好手 1 級 ‧ 2024-03-02 11:58:51 檢舉
可以看一下這篇最新的報導
https://www.ithome.com.tw/news/161562
中華電信機房只有做流量跟連接線程管制
也就是簡單的 DDOS 管制而已,而且他允許的連接線程開很高
印象中預設都過萬,如果你是多IP用戶,是每個IP都過萬
所以,這樣真的安全 ?
allen1975 iT邦新手 1 級 ‧ 2024-03-05 17:19:42 檢舉
你這觀念可以成立.但前提是你在對岸
哈哈
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
5
Ray
iT邦大神 1 級 ‧ 2024-02-29 18:10:16

中華電信的防火牆, 只負責處裡它們員工的上網, 不處理客戶的上網.
所有電信服務公司的防火牆都是同樣原則: 只處裡自己組織內部; 但是...
如果你願意額外付費的話, 它們或許會願意額外幫你提供防火牆服務.

不過, 防火牆並不是唯一的防禦手段, 資安是需要多層次縱深防禦的, 防火牆頂多是十幾道防禦裡的其中一道而已; 你還缺了很多其他的防禦手段.

此外, 防火牆有許多設定需要客製化, 你把防火牆功能託管在別人手上, 最後只是製造自己的麻煩而已, 因為你可能一天到晚要打電話告訴他: 你想要怎麼調整防火牆, 然後客服轉接又轉接, 找不到一位可以聽得懂你在說甚麼的工程師...

看更多先前的回應...收起先前的回應...
angelo777 iT邦新手 5 級 ‧ 2024-03-01 09:33:58 檢舉

謝謝分享,很受益。 再請教一下,小弟公司因客戶提需求,要我們做到如下:
(1)Network Security - 網路有適當隔離設計、存取控制與監控保護機制 Network has isolation design, access control and monitor protection mechanisms.
(2)網際網路存取 (Internet access) 管控機制 - 惡意網站黑名單控管, 執行檔下載控管, 限制檔案/資料上傳, 使用有安全更新的瀏覽器

但我們專業主要在於軟體設計開發,並無法再額外提供人力去做這些事,想請教一下,除了防火牆外,還需要再額外做哪些事情才能符合上面需求呢? 萬分感謝!

GJ iT邦好手 1 級 ‧ 2024-03-01 14:03:59 檢舉

建議你這些問題都可以找資安的SI廠商,可以聽聽看對方的規劃、報價
會要求這些的客戶應該是不小的吧,或是政府單位
這些做下去也不是丟了就不管,也是要有持續的維護管理
沒有額外人力就跟廠商談外包維護人力

fs910175 iT邦新手 5 級 ‧ 2024-03-01 14:31:32 檢舉

這種事直接外包就好了,買個硬體放火牆請廠商設到好。

Ray iT邦大神 1 級 ‧ 2024-03-01 16:46:50 檢舉

看起來您是軟體開發廠商, 對這個業態來說, 這兩件事情會被展開成:

  1. 有沒有將開發/測試/上線這三段網路做出實體隔離?
  2. 管理資料庫的人, 是否禁止接觸原始碼和上版部署?
  3. 負責維運的團隊, 是否禁止接觸原始碼和機敏個資?
  4. 每一次接觸機敏資料或程式的活動, 有沒有被記錄?
  5. 如何限制權限等級低的人, 越權存取非權限內資源?
  6. 發生越權活動的時候, 如何被偵知與通報管理單位?
  7. 如何防止無線洩波(Wifi Leaking)造成外部入侵?
  8. 如何避免或偵知內部資源被植入各種非法黑客工具?
  9. 如何避免外部盜用人員識別帳密並且執行越權事件?
  10. 如何避免人員誤入釣魚工具佈下的陷阱導致被奪權?
  11. 如何防止內部人員將機敏資料傳送至未授權的載體?
  12. 如何強制內部人員使用安裝了最新安全更新的瀏覽器?
    ....(先列這些)

(1)Network Security - 網路有適當隔離設計、存取控制與監控保護機制 Network has isolation design, access control and monitor protection mechanisms.
(2)網際網路存取 (Internet access) 管控機制 - 惡意網站黑名單控管, 執行檔下載控管, 限制檔案/資料上傳, 使用有安全更新的瀏覽器

所以並不是:
有適當隔離=防火牆
存取控制=防火牆
監控保護機制=防火牆
惡意網站黑名單控管=防火牆
執行檔下載控管=防火牆
限制檔案/資料上傳=防火牆
使用有安全更新的瀏覽器=防火牆

....這樣簡單而已; 而是要把上面那些名詞, 展開成實際的運作情境之後, 再根據對應的情境, 去選擇適當的工具. 例如上面的 1~12 項工作, 實際執行的對策方案可能是:

#1 用 Switch 的 VLAN 來做就可以
#2 用行政命令或者職務定義來做
#3 設計技術堆疊使維運者不需接觸原始碼也能部署和維運
#4 建置一套 Log 收集中心彙整所有行為
#5 設計權限表, 在每一個資源上實施中央集中式授權
#6 導入 EDR/SIEM 監控, 並設計須回報的事件與樣態
#7 導入 802.1x, 防止公司場域外的人, 透過洩波進入內部網路
#8 導入 EDR 或者防毒軟體
#9 導入人員目錄管理系統SSO, 並採用 MFA 方式登入
#10 導入 EDR 或者防毒軟體+防火牆
#11 導入防毒軟體+防火牆
#12 導入資產管理工具, 回報各電腦使用的瀏覽器版本

以上使用的工具, 只有一小部份是在防火牆的工作項目中.

如果你們沒有資安人力可以處理這些的話, 建議找: 能回答以上問題的廠商來協助規劃, 這不會是單買一個設備就可以解決, 他是需要一整套網路規劃, 搭配公司流程和制度來一起完成的.

setsuna iT邦新手 1 級 ‧ 2024-03-02 09:23:14 檢舉

還是要看客戶要求有多細,一般公司維運團隊來說就是樓上列出的那些項目,但對下包廠商或協力廠商不一定會有這麼高的標準,因為客戶大多沒有文件或實地稽核的權力。

0
by2048
iT邦高手 1 級 ‧ 2024-03-01 09:10:28

HiNet DDoS 防護服務
HiNet IPS 入侵防護服務
HiNet 企業防駭守門員
以上服務是公司的小烏龜出去到hinet機房(防火牆服務)再連到Internet

資安艦隊是租用設備做上述的服務(設備費用分月攤提,約滿歸客戶)

如公司只上網不架站,甚至用PPPOE連外IP一直換也都OK
不過因應資安需求跟公司預算,都要選一類做

有預算當然自己買防火牆,沒預算租也是選擇

angelo777 iT邦新手 5 級 ‧ 2024-03-01 09:38:40 檢舉

謝謝分享,感謝。 那您提的上面那幾項,如:資安艦隊,就可以一次性達到剛剛(樓上)我提問的問題嗎(可滿足下面需求嗎)?
(1)Network Security - 網路有適當隔離設計、存取控制與監控保護機制 Network has isolation design, access control and monitor protection mechanisms.
(2)網際網路存取 (Internet access) 管控機制 - 惡意網站黑名單控管, 執行檔下載控管, 限制檔案/資料上傳, 使用有安全更新的瀏覽器

by2048 iT邦高手 1 級 ‧ 2024-03-01 10:32:25 檢舉

如樓下回覆,這些都是基本功能,但需跟中華電信工程師溝通設定的內容

sd3388 iT邦好手 1 級 ‧ 2024-03-02 12:02:35 檢舉

可以看一下這篇最新的報導
中華電信傳出資料外洩,我國國安單位內部資料流入暗網
看完後相信你會再慎重考慮一下託管給中華XX

1
CyberSerge
iT邦好手 1 級 ‧ 2024-03-01 09:52:11

(1)Network Security - 網路有適當隔離設計、存取控制與監控保護機制 Network has isolation design, access control and monitor protection mechanisms.
(2)網際網路存取 (Internet access) 管控機制 - 惡意網站黑名單控管, 執行檔下載控管, 限制檔案/資料上傳, 使用有安全更新的瀏覽器

這些部分只要是現在的次世代防火牆都能做到,應該找專業的廠商規劃

0
sd3388
iT邦好手 1 級 ‧ 2024-03-01 12:47:07

根據以上所有訊息
如果找中華XX艦隊會無法達到你的期望
主要因為他們都是被動服務(通常不會很即時)
而你需要的是能及時給予支援的服務
聘僱有熟防火牆的MIS網管會最好

如果覺得應付客戶要求,不想花太多預算
推薦您找熟悉Fortinet資安鐵三角方案作完整諮詢
也可以看網管人員最常見的六大問題
自己有採用該方案覺得還不錯,特別是
Network has isolation design, access control and monitor protection mechanisms.
按敘述應該都能符合您的要求

建議您,軟體設計開發一樣需要重視資安
任何公司基礎網路建置資安管理更為重要
屬於公司必要的投資項目

sd3388 iT邦好手 1 級 ‧ 2024-03-02 12:02:03 檢舉

可以看一下這篇最新的報導
中華電信傳出資料外洩,我國國安單位內部資料流入暗網
看完後相信你會再慎重考慮一下託管給中華XX

我要發表回答

立即登入回答