iT邦幫忙

1

請教舊電腦架網站的防護措施

  • 分享至 

  • xImage

預算:能DIY就不付費;上限抓硬體防火牆20,000台幣左右

用途:個人WordPress及家庭相簿TrueNAS,打算買CloudFlare域名

規畫中的想法:CloudFlare DDNS + 免費方案防護(防DDoS 攻擊、提供SSL/TLS、WAF)

請問這樣是否足夠了?

還是建議pfsense/opnsense或買硬體防火牆?

看更多先前的討論...收起先前的討論...
望空 iT邦新手 1 級 ‧ 2024-11-08 14:51:46 檢舉
如果需要多站台或限制存取的話,pfsense或opnsense或openwrt的確可以拿來做port forwarding/NAT及規則使用,不過我是直接拿一顆unifi的機器來做,或是一個routeros的機器來做
mathewkl iT邦高手 1 級 ‧ 2024-11-08 16:03:59 檢舉
不夠,WordPress的零日漏洞三不五時就一大串網站受害,前面放防火牆也不保證IPS抓的到零日,你還要掛其他的防護如SIEM來確保WordPress沒有被異常變更或者被變更時能短時間應變
rb1102 iT邦研究生 2 級 ‧ 2024-11-08 21:10:56 檢舉
資安沒有夠不夠的問題,能做的只有把風險降到可接受的程度
要想一下如果前方的防禦都被突破了,有沒有災難復原的準備?
kawa0710 iT邦研究生 5 級 ‧ 2024-11-09 12:04:29 檢舉
感謝各位的回覆。認同資安只有預算問題。
看完各位提供的內容後,感覺要獨自應對這年代的資安威脅必須要有中型企業以上的財力,無論是買硬體或服務...
家用且有限預算情況下, 把兩個需求分開才能最大程度控管風險。
新的規劃是:在外存取相簿用VPN連NAS,WordPress找專業主機商。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
3
echochio
iT邦高手 1 級 ‧ 2024-11-08 16:38:35
最佳解答

CloudFlare 要打挂不容易,把CloudFlar CDN IP 設定白名單
https://www.cloudflare.com/zh-cn/ips/
其他IP都封了
再來就是 入侵防護(IPS) 針對軟體漏洞
可以買最簡單的 HiNet IPS 入侵防護服務

8
Ray
iT邦大神 1 級 ‧ 2024-11-08 16:18:10

資安沒有所謂:夠不夠的問題, 你花個幾億建置, 照樣有人可以把你打垮.

資安要看的是風險, 你把風險依序排列下來, 從風險最大的開始, 往下處理.
如果有幾十個風險, 通通要處理完嗎? 也不盡然....

風險對策有四種:
1.接受:風險在可容忍範圍內,忽視不處理。
2.規避:風險在可容忍範圍外,處理成本高於利益時,採取不涉入或退出風險。
3.抑減:依風險評估結果,研議及採取適當內部控制或其他機制,降低風險發生之可能性及影響程度,將風險控制在可容忍範圍內。
4.移轉:藉由其他團體承擔或分擔部分風險,降低風險對本身之影響程度。

風險算到最後, 終極的關鍵就是: 財損,
你可能面對多少財損? 決定你應該投入多少資安成本.

投入成本超過可能的財損, 就是不合理; 沒超過的話都合理, 剩下甘不甘願的問題而已.

1
mytiny
iT邦超人 1 級 ‧ 2024-11-08 20:29:47

不能做內容層防護的Firewall防火牆
早就不適合做威脅防禦

能做內容層防護的NGFW次世代防火牆
沒有解密SSL憑證以掃描內容
其實幾乎等於瞎子,什麼都看不到

如果給電信業者託管
能夠替網路流量解密檢查嗎?
那些AV/IPS還能有多少作用?

網站的防護則更為複雜
很可能是合法的訪問卻作惡意的行為
這種需要樣本比對又不能解密看內容的NGFW基本就廢了

現在出資安事件
是要怪防火牆沒作用嗎?
通常都是資安觀念不到位吧!

1
CyberSerge
iT邦好手 1 級 ‧ 2024-11-09 09:34:57

CloudFlare 免費方案的WAF是很陽春的,要防護OWASP top 10需要使用付費方案
https://www.cloudflare.com/plans/

kawa0710 iT邦研究生 5 級 ‧ 2024-11-09 12:05:31 檢舉

感謝您的訊息!沒認真看還以為免費有

而且免費方案的DDoS也是有限制的,只有L7,不包括L3

1
yomojak811
iT邦新手 5 級 ‧ 2024-11-10 12:26:12

CloudFlare防護完全不夠喔 有些駭客可以繞過CloudFlare 網站需要安裝端點防護才夠
也就是網站本身需要有L7的防火牆 然後你也需要L3的硬體防火牆 這樣才能夠完整防護 這樣全部弄下來預算不少喔 託管會比較划算

我是因為興趣沒在管預算的 如果你有預算託管是比較划算的

1
MatthewWangUS
iT邦新手 3 級 ‧ 2024-11-11 09:11:08

依我管理跟解決眾多wp問題。
如有 firewall 只開 80/443/22
可裝 ModSecurity WAF。但需有心裡準備需自行依環境開白名單。
wp-login.php/plugin-install 最好擋來源 ip .
每天 monitor 使者用登入 ip/國家
定時 reset 密碼。
外掛全開自動更新。

kawa0710 iT邦研究生 5 級 ‧ 2024-11-12 08:28:36 檢舉

感謝您

1

我個人是自架的。也有自已的相冊。也連接我家的電視看影片啥的。
資安????
我只開放內網的部份。
而外部採用IP及驗証 mac 來處理。也就是只有手機、還有我允許的IP才能連結用

啥防火牆也沒用。用的也只是6000多的分享器。
我只做了異地備份。也在內網但不開放外部連結,且採用的是靜像檔儲存方式。

SERVER是一台一般電腦,也不是SERVER等級的。

我要發表回答

立即登入回答