 |
1
renfei 1 天前  1
飞牛那事儿需要的是 WAF ,软件 WAF 就够用,比如雷池?
家用用不着硬件防火墙,流量没那么大 |
 |
2
libregratis 1 天前
个人用 RouterOS 足够了,或去折腾 OPNsense ,不过其实没必要
|
 |
3
icecap 1 天前
飞牛这个事情的启示是,不让家里的服务暴露在公网上.
就算暴露也得是成熟的系统. 比如 Windows(开启更新打满补丁)的 3389 rdp,只要密码够强,很难被攻破 |
 |
4
geniussoft 1 天前 via iPhone
飞牛……
什么防火墙也没有用。 真想安全,换群晖…… |
 |
5
folnet 1 天前
咸鱼二手 paloalto, juniper, fortinet
|
 |
6
zyq2280539 1 天前
硬件服务我觉得家用也没啥必要吧,真正对外的服务都要多包装一层,比我就用 nginx 只开放 80 和 443 端口,后面一堆子域名,只要子域名不正确就根本访问不到服务的系统,这就能减少很多针对特定系统特定端口的扫描了。。。不过最近也遇到了 wordpress 的定向扫描,最稳妥的办法还是上 cdn ,cdn 封杀太简单了,设置下规则就完事儿了
|
 |
7
Lentin 1 天前
不需要防火墙,只需要组网就够安全了,不要开公网暴露面,代价就是每个客户端都要装组网客户端
|
 |
8
pingdog 1 天前 via Android
fortinet 是相较便宜的 L7 防火墙厂商了,license 一年 4 千多 5 千,入门的硬件 4 千多。不买 license 和你手动配个 nftable 没区别
|
 |
9
glamour 1 天前
飞牛这个漏洞
是你买啥防火墙都没有用的 |
 |
10
aigkjo 1 天前
路由器应该都是默认禁止入站的吧?禁止家里所有服务在公网就行了。而且飞牛这种你没法防。只能用其它方案解决问题,比如 vpn 回家再用内网访问?
|
 |
11
LnTrx 1 天前
7 层的攻击买额外硬件反而麻烦,硬件的处理能力未必比你的 NAS 强
|
 |
12
opengps 1 天前
硬件防火墙主要是处理端口连接安全的,不是处理应用层的,飞牛这个问题不适用硬防
|
|
13
opengps 1 天前
如果你在 win 环境有这种漏洞,火绒都能给你识别出来这是非法路径攻击
|
 |
14
abcbuzhiming 1 天前 2
很多人不知道的是,你的那台路由器就是一台最简单的硬件防火墙,因为 NAT 默认是禁止外部连接进入的,问题是现在大部分人直接把自己的内部服务暴露在公网上,这样就算你买了一台硬件防火墙,你照样防不住飞牛这样的漏洞
|
 |
15
fairytale 1 天前 via Android
买个二手飞塔 60e ,咸鱼几块钱买份离线库更新。
|
 |
16
hefish 1 天前
我觉得红米就够了。 实在要暴露端口,还是要上 雷池,免费版至少搞一个吧
|
 |
17
yohole 1 天前
我对 NAS 的理解一直都是备份、所以从来都是只局限于内网的,所有 NAS 的安全问题都是开了公网访问权限有关
|
 |
18
saltedfishgames 1 天前
@pingdog 不买的话就入侵防御特征库无法更新,其他特征库都是支持离线更新的。不过你这么说也没啥毛病。
|
 |
19
LaoChen 1 天前
@pingdog 好奇一下,这些硬件防火墙的高级 license 特征库,能防范应用层攻击?针对 https 流量,https 证书要配置在防火墙上?其他应用层加密的流量,也都需要把证书配在防火墙上?
|
 |
20
yolee599 1 天前 via Android
尽量选择大厂的产品,小厂的产品往往是以开发新功能为主,这是和业绩直接挂钩的,安全是排在最后的,甚至没有专门负责安全的人
|
 |
21
WuSiYu 1 天前
“防火墙”概念太宽泛了,iptables 、DPI 流量检测、IDS/IPS 、WAF 都是不同的东西,后面几种的特征库基本都是要钱的
另外我在用的 unifi ucg fiber 网关自带免费的 DPI 和 IDS/IPS ,但我感觉图一乐,平时也就帮你拦截一些脏 ip |
|
23
pingdog 1 天前 via Android
@saltedfishgames 忘了从 7.4 还是 7.6 ,开始阻止没 license 的离线更新了。。
|
 |
24
tomczhen 1 天前
应用层入侵检测能选择的不多,opnsense 可以考虑一下,不过搞这么麻烦不如搭个 VPN 回家而不是暴露内网服务到公网。
|
 |
25
inframe 1 天前
不要开公网上就好了
|
 |
26
miyuki 1 天前 via iPhone
你这需求 vpn 直接秒了
|
 |
27
91pornshanghai 1 天前
换个移动宽带
|
 |
28
imnpc 1 天前
一般路由就解决了 不要随意对外开放端口
我用的 ikuai |
 |
29
YGBlvcAK 1 天前 via Android
没必要,不如直接用 vpn
|
 |
30
dxppp 1 天前
|
|
31
geniussoft 1 天前 via iPhone
|
 |
32
kiracyan 1 天前
好陌生的词
|
|
33
saltedfishgames 1 天前
@pingdog 这么恶心?那还是算了,几年前咸鱼淘过一台 60e ,好像刷到 7.4 版本还能离线更新。tftp 刷进去就行了,不过他家的特征库有点水土不服。试过把那个网络色情和暴力的网站 block 掉,然后抖音开始很卡了,刷视频和直播都卡,完全黑屏那种。转发能力也不是很强,60e 全部过滤都开了的情况下转发只剩下 500M 出头了,而且对 ipv6 的支持不太行,经常拨号获取不到地址,或者 wan 获取到下面的设备获取不到,甚至都获取到了但是就是无法转发出去。各种折腾,下次也不太考虑它家产品了
|
|
34
saltedfishgames 1 天前
楼主要飞塔 60E 吗?我这刚好有一台闲置几年了,刷好 7.4 系统。便宜出了
|
 |
35
ZRS 1 天前
飞牛的问题防火墙解决不了
|
 |
36
just4id 1 天前 via iPhone
VMware edge 620/640
|
 |
37
benjaminliangcom 1 天前
二手 paloalto NGFW 呗,几百块,不过好像吞吐量不高
|
 |
38
Zenuncl PRO 基本上就是折腾 OPNsense 了
|
|
39
dxppp 1 天前
@geniussoft 我看未必 一堆人嫌麻烦关闭更新
|
 |
40
Eytoyes 1 天前
不带 license 的硬件是毛用没有。。。
|
 |
41
SayHelloHi 1 天前
深信服 😁
|
 |
42
roma 1 天前
@saltedfishgames 什么价?是否可以解绑
|
 |
43
Autonomous 1 天前
@icecap 默认端口还是比较危险,太多扫描的了,我一般会映射到高位端口去
|
 |
44
lymanbernadette6 1 天前
雷池不开源... 最安全的还是跑个 OpenVPN/wireguard/ss-server 类似的,减少暴露面
|
 |
45
chen1210 23 小时 23 分钟前
买防火墙×
把 NAS 通往互联网的网线拔掉√ |
 |
46
titanium98118 23 小时 6 分钟前
@saltedfishgames #33 我在用 60e 固件 7.4.7 ,确实对动态的 ipv6 支持不好,而且飞塔 pppoe 的转发性能太差,基本 500-600m 到头了,最后我用回 openwrt 拨号、下发 pd 。不过它的 SD-WAN 功能好用,比 openwrt 的 mwan3 强多了。
|
 |
47
Nectar1899 23 小时 2 分钟前
有条件还是上个 waf ,我这边后面测了下飞牛,能拦得住啦
|
|
48
saltedfishgames 22 小时 22 分钟前 via Android
@LaoChen 不是,防火墙授权一般是用来更新特征库和开启某些功能的。但是没有授权基本过滤审查也能用,例如飞塔系列授权就包含 ap 控制 sdn 和特征库在线更新
|
|
49
saltedfishgames 22 小时 20 分钟前 via Android
@titanium98118 wan 到 lan 和 lan 到 wan 不开审查过滤的话可以突破 500m 的,我宽带 600m 可以跑到 670 多。但是开了只能到 500 到头了 ipv6 确实一坨就不说了,无线设备直接无法获取到
|
|
50
saltedfishgames 22 小时 19 分钟前 via Android
@roma 两百包邮便宜除了,账号可以解绑。但是授权过期了,淘宝或者闲鱼卖 2000-2500 一年。
|
|
51
icecap 20 小时 56 分钟前
@Autonomous 那必然了,但事实上密码不对就攻破不了.缺少安全补丁的不谈
|
 |
52
spacezip 20 小时 27 分钟前
这种需要 ids ips 联动 waf 把 否则 waf 默认规则会让你各种应用都很难受 或者你熟悉各种业务 手动修改各种阈值
|
 |
53
fstab 17 小时 28 分钟前
你的需求是 VPN ,而不是防火墙,因为防火墙防不了漏洞。
|
Select Language