是的,所以要自主做好安全防护仅仅依赖单一系统的防护不知道什么时候就会被搞。
优先 VPN 隧道连接使用次一点的放公网把强度上上去,把 IP 地址限制到你们城市或者省才能访问。前面挂上 WAF 把 IP 地址限制打开,用户认证打开,黑名单和白名单都打开机器人验证打开。搞到非常难访问的程度基本就没有问题了。
飞牛-->NGINX 反代(开启基本认证)--->WAF(IP 地址限制到你们省市,黑名单常用封禁国内爬虫恶意 IP ,CC 和机器人验证打开,用户认证打开)--->出口路由器(限制访问为国内 IP 地址访问,开启国内爬虫和恶意 IP 封堵)--->公网
你想用首先得是国内正常 IP--->进入出口路由器--->过 WAF 的省内 IP 认证,用户认证,CC 防护,机器人防护,攻击防护---->过 NGINX 反代基本认证--->再到飞牛的 web 界面认证。
上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的,二是的攻破 WAF 的防护,在攻破 NGINX 的基本认证,最后才是飞牛的漏洞或者别的。
以上这些并非是针对飞牛的,任何放到公网上的服务都该做好安全防护任何系统不能保证完全的安全。
是的不要使用任何第三方的隧道转发,优先使用自建的。优先 VPN 隧道连接使用次一点的放公网把强度上上去,把 IP 地址限制到你们城市或者省才能访问。前面挂上 WAF 把 IP 地址限制打开,用户认证打开,黑名单和白名单都打开机器人验证打开。搞到非常难访问的程度基本就没有问题了。
飞牛-->NGINX 反代(开启基本认证)--->WAF(IP 地址限制到你们省市,黑名单常用封禁国内爬虫恶意 IP ,CC 和机器人验证打开,用户认证打开)--->出口路由器(限制访问为国内 IP 地址访问,开启国内爬虫和恶意 IP 封堵)--->公网
你想用首先得是国内正常 IP--->进入出口路由器--->过 WAF 的省内 IP 认证,用户认证,CC 防护,机器人防护,攻击防护---->过 NGINX 反代基本认证--->再到飞牛的 web 界面认证。
上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的,二是的攻破 WAF 的防护,在攻破 NGINX 的基本认证,最后才是飞牛的漏洞或者别的。
以上这些并非是针对飞牛的,任何放到公网上的服务都该做好安全防护任何系统不能保证完全的安全。
来来回回不就那些,要么 windows 或者 linux 的 debian fedora 或者 bsd 等完全从零开始的,全部自己来做需要的技术水平比较高。二个就是社区版的 istores omv nas4free 等基于 linux 或者 bsd 二次开发的,已经有一部分的功能了社区支持不错但是个性化的功能很多还需要自己手动来。三个就是商业公司开发的 unraid truenas 飞牛 群晖 威联通 绿联等等,有基本的商业支撑功能相较来说比较完善。
方案不就随意,怎么方便怎么来注意公网安全就行。上强度内网也可以做好安全上防火墙做好端口控制和访问限制内网也做零信任,把家用当企业用来做基本很难出现大问题无法使用管理维护麻烦一些。
技术上来说对于一般人来说太难了,面向大众和面向极客还是不一样的。
@
Untu 是的了解安全都知道要做防护的。公司现在全部都用零信任客户端接入不合规的终端不给连包括内网和外网。对外的服务上云的都上买了安全服务,本地的也买了安全设备做防护有 CVE 漏洞都会发邮件让业务侧的检查和处理。
我个人家里用的都是 VPN 接入,实在要对外的上了雷池 WAF 和安全认证还有定时开启和关闭端口转发。尽量减少被攻击的可能。
@
MiKing233 厂商自己的问题是一回事,你自己注不注重安全又是一回事。既然无法保证厂商完全没有问题那就自己要想办法做好安全防护啊。我又没有说飞牛没问题我核心点就是 你自己要做好安全措施对自己的安全要上心不然出事了受到损失不还是你自己的。就说这么多了。
@
MiKing233 那就不用啊或者加固,能公网访问的服务基本都有被攻击的可能官方的也一样。所以要上 VPN 访问或者安全防护的手段进行防护,裸奔是都有中招的可能。对于安全自己要有意识要上手段这样才能尽可能的减少出问题的几率。
上了雷池 waf 没见有什么异常的,开了限制地区访问限制必须要用账号才能访问网页。目前 WAF 除了特定地区 IP 根本就没办法打开认证页面。安全基本拉满了。不是很懂随意做端口转发还不上安全防护的,基本当了肉鸡都会不知道。
一样,不过我也没有纠结不太清楚什么时候开始的。据说神经性耳鸣和耳朵正常与否没有关系。就这样吧。
当然有,你以为都在国际出口那里做的那不是要干死流量检测的。网信在每个省都有专门的检测设备同时三大运营商每个省也有检测的设备。信安和运营商都有不同的处置平台的,不良信息处置平台 省信管平台 运营商集团信安平台等一堆平台,GFW 就属于网信信安的东西。有一些网站属于信安下发 GFW 处置的所有三网都同时不能访问,有的是某个运营商自己内部处置的别的运营商反而没有处置就可以访问。
早就用上了,内网服务(其中之一就是 Next Terminal)-->NGINX 反代-->雷池 WAF-->lucky 打洞转发。NT 开启二步认证 WAF 开启用户认证基本没有任何安全问题。
法定加上需要值班。不过值班是轮着来的反正也没有事做过来坐着玩就行混三倍工资到点走人。不想值班直接说就行都是商量着来组里面也有人,不做强制要求。
可以试下,不过一般都会绑定端口的端口不一样拨号是拨不上的。
现成的没有很好的办法,最主要的就是过墙需要伪装成普通流量。核心思路就是 VPN 套 VPN 了。
1 、你的大马有公网 IP 地址,在内地和你大马的先跑 vless 等这类的伪装 VPN ,然后采用 vxlan 或者 softether wireguard 等让这类标准 vpn 数据进入 vless 的代理内部,这样就能实现标准的 VPN 互联了。好处就是两边的设备配置你自己可以修改,性能不够可以加上去力大砖飞。
2 、采用中继也就是香港那台那台做中继,和上面一样内地到香港需要套上两层 VPN ,香港到大马就随意了。就是如果性能不足得加钱才能行。
3 、购买 SD-WAN 服务了,不过这种太贵没有必要。
国内异地组网用 IPv6 做底层的 underlay 还是不错的,我这里用了几年了同一运营商跨省没有什么问题。带宽即使在高峰时段也可以跑满。
不能买设备那就买授权上 NFV ,F5 有对应的 NFV 的。
Select Language