这是一个创建于 74 天前的主题,其中的信息可能已经有所发展或是发生改变。
看了最近的飞牛事件,想弄一个家用硬件防火墙,佬们有推荐的吗?
 | 1 renfei 2 月 8 日  2 飞牛那事儿需要的是 WAF ,软件 WAF 就够用,比如雷池? 家用用不着硬件防火墙,流量没那么大 |
 | 2 libregratis 2 月 8 日 个人用 RouterOS 足够了,或去折腾 OPNsense ,不过其实没必要 |
 | 3 icecap 2 月 8 日 飞牛这个事情的启示是,不让家里的服务暴露在公网上. 就算暴露也得是成熟的系统. 比如 Windows(开启更新打满补丁)的 3389 rdp,只要密码够强,很难被攻破 |
 | 4 geniussoft 2 月 8 日 via iPhone 飞牛…… 什么防火墙也没有用。 真想安全,换群晖…… |
 | 5 folnet 2 月 8 日 咸鱼二手 paloalto, juniper, fortinet |
 | 6 zyq2280539 2 月 8 日 硬件服务我觉得家用也没啥必要吧,真正对外的服务都要多包装一层,比我就用 nginx 只开放 80 和 443 端口,后面一堆子域名,只要子域名不正确就根本访问不到服务的系统,这就能减少很多针对特定系统特定端口的扫描了。。。不过最近也遇到了 wordpress 的定向扫描,最稳妥的办法还是上 cdn ,cdn 封杀太简单了,设置下规则就完事儿了 |
 | 7 Lentin 2 月 8 日 不需要防火墙,只需要组网就够安全了,不要开公网暴露面,代价就是每个客户端都要装组网客户端 |
 | 8 pingdog 2 月 8 日 via Android fortinet 是相较便宜的 L7 防火墙厂商了,license 一年 4 千多 5 千,入门的硬件 4 千多。不买 license 和你手动配个 nftable 没区别 |
 | 9 glamour 2 月 8 日 飞牛这个漏洞 是你买啥防火墙都没有用的 |
 | 10 aigkjo 2 月 8 日 路由器应该都是默认禁止入站的吧?禁止家里所有服务在公网就行了。而且飞牛这种你没法防。只能用其它方案解决问题,比如 vpn 回家再用内网访问? |
 | 11 LnTrx 2 月 8 日 7 层的攻击买额外硬件反而麻烦,硬件的处理能力未必比你的 NAS 强 |
 | 12 opengps 2 月 8 日 硬件防火墙主要是处理端口连接安全的,不是处理应用层的,飞牛这个问题不适用硬防 |
| 13 opengps 2 月 8 日 如果你在 win 环境有这种漏洞,火绒都能给你识别出来这是非法路径攻击 |
 | 14 abcbuzhiming 2 月 8 日 2 很多人不知道的是,你的那台路由器就是一台最简单的硬件防火墙,因为 NAT 默认是禁止外部连接进入的,问题是现在大部分人直接把自己的内部服务暴露在公网上,这样就算你买了一台硬件防火墙,你照样防不住飞牛这样的漏洞 |
 | 15 fairytale 2 月 8 日 via Android 买个二手飞塔 60e ,咸鱼几块钱买份离线库更新。 |
 | 16 hefish 2 月 8 日 我觉得红米就够了。 实在要暴露端口,还是要上 雷池,免费版至少搞一个吧 |
 | 17 yohole 2 月 8 日 我对 NAS 的理解一直都是备份、所以从来都是只局限于内网的,所有 NAS 的安全问题都是开了公网访问权限有关 |
 | 18 saltedfishgames 2 月 8 日 @pingdog 不买的话就入侵防御特征库无法更新,其他特征库都是支持离线更新的。不过你这么说也没啥毛病。 |
 | 19 LaoChen 2 月 8 日 @pingdog 好奇一下,这些硬件防火墙的高级 license 特征库,能防范应用层攻击?针对 https 流量,https 证书要配置在防火墙上?其他应用层加密的流量,也都需要把证书配在防火墙上? |
 | 20 yolee599 2 月 8 日 via Android 尽量选择大厂的产品,小厂的产品往往是以开发新功能为主,这是和业绩直接挂钩的,安全是排在最后的,甚至没有专门负责安全的人 |
 | 21 WuSiYu 2 月 8 日 “防火墙”概念太宽泛了,iptables 、DPI 流量检测、IDS/IPS 、WAF 都是不同的东西,后面几种的特征库基本都是要钱的 另外我在用的 unifi ucg fiber 网关自带免费的 DPI 和 IDS/IPS ,但我感觉图一乐,平时也就帮你拦截一些脏 ip |
| 23 pingdog 2 月 8 日 via Android @saltedfishgames 忘了从 7.4 还是 7.6 ,开始阻止没 license 的离线更新了。。 |
 | 24 tomczhen 2 月 8 日 应用层入侵检测能选择的不多,opnsense 可以考虑一下,不过搞这么麻烦不如搭个 VPN 回家而不是暴露内网服务到公网。 |
 | 25 inframe 2 月 8 日 不要开公网上就好了 |
 | 26 miyuki 2 月 8 日 via iPhone 你这需求 vpn 直接秒了 |
 | 27 91pornshanghai 2 月 8 日 换个移动宽带 |
 | 28 imnpc 2 月 8 日 一般路由就解决了 不要随意对外开放端口 我用的 ikuai |
 | 29 YGBlvcAK 2 月 8 日 via Android 没必要,不如直接用 vpn |
 | 30 dxppp 2 月 8 日 |
| 31 geniussoft 2 月 8 日 via iPhone |
 | 32 kiracyan 2 月 8 日 好陌生的词 |
| 33 saltedfishgames 2 月 9 日 @pingdog 这么恶心?那还是算了,几年前咸鱼淘过一台 60e ,好像刷到 7.4 版本还能离线更新。tftp 刷进去就行了,不过他家的特征库有点水土不服。试过把那个网络色情和暴力的网站 block 掉,然后抖音开始很卡了,刷视频和直播都卡,完全黑屏那种。转发能力也不是很强,60e 全部过滤都开了的情况下转发只剩下 500M 出头了,而且对 ipv6 的支持不太行,经常拨号获取不到地址,或者 wan 获取到下面的设备获取不到,甚至都获取到了但是就是无法转发出去。各种折腾,下次也不太考虑它家产品了 |
| 34 saltedfishgames 2 月 9 日 楼主要飞塔 60E 吗?我这刚好有一台闲置几年了,刷好 7.4 系统。便宜出了 |
 | 35 ZRS 2 月 9 日 飞牛的问题防火墙解决不了 |
 | 36 just4id 2 月 9 日 via iPhone VMware edge 620/640 |
 | 37 benjaminliangcom 2 月 9 日 二手 paloalto NGFW 呗,几百块,不过好像吞吐量不高 |
 | 38 Zenuncl PRO 基本上就是折腾 OPNsense 了 |
| 39 dxppp 2 月 9 日 @geniussoft 我看未必 一堆人嫌麻烦关闭更新 |
 | 40 Eytoyes 2 月 9 日 不带 license 的硬件是毛用没有。。。 |
 | 41 SayHelloHi 2 月 9 日 深信服 |
 | 42 roma 2 月 9 日 @saltedfishgames 什么价?是否可以解绑 |
 | 43 Autonomous 2 月 9 日 @icecap 默认端口还是比较危险,太多扫描的了,我一般会映射到高位端口去 |
 | 44 lymanbernadette6 2 月 9 日 1 雷池不开源... 最安全的还是跑个 OpenVPN/wireguard/ss-server 类似的,减少暴露面 |
 | 45 chen1210 2 月 9 日 买防火墙× 把 NAS 通往互联网的网线拔掉√ |
 | 46 titanium98118 2 月 9 日 @saltedfishgames #33 我在用 60e 固件 7.4.7 ,确实对动态的 ipv6 支持不好,而且飞塔 pppoe 的转发性能太差,基本 500-600m 到头了,最后我用回 openwrt 拨号、下发 pd 。不过它的 SD-WAN 功能好用,比 openwrt 的 mwan3 强多了。 |
 | 47 Nectar1899 2 月 9 日 有条件还是上个 waf ,我这边后面测了下飞牛,能拦得住啦 |
| 48 saltedfishgames 2 月 9 日 via Android @LaoChen 不是,防火墙授权一般是用来更新特征库和开启某些功能的。但是没有授权基本过滤审查也能用,例如飞塔系列授权就包含 ap 控制 sdn 和特征库在线更新 |
| 49 saltedfishgames 2 月 9 日 via Android @titanium98118 wan 到 lan 和 lan 到 wan 不开审查过滤的话可以突破 500m 的,我宽带 600m 可以跑到 670 多。但是开了只能到 500 到头了 ipv6 确实一坨就不说了,无线设备直接无法获取到 |
| 50 saltedfishgames 2 月 9 日 via Android @roma 两百包邮便宜除了,账号可以解绑。但是授权过期了,淘宝或者闲鱼卖 2000-2500 一年。 |
| 51 icecap 2 月 9 日 @Autonomous 那必然了,但事实上密码不对就攻破不了.缺少安全补丁的不谈 |
 | 52 spacezip 2 月 9 日 这种需要 ids ips 联动 waf 把 否则 waf 默认规则会让你各种应用都很难受 或者你熟悉各种业务 手动修改各种阈值 |
 | 53 fstab 2 月 9 日 你的需求是 VPN ,而不是防火墙,因为防火墙防不了漏洞。 |
 | 54 objectgiga 2 月 12 日 防火墙基础功能本质大号 ACL ,收钱的各种特征库在你不提供 https 证书的情况下核心就是 dns 解析的监测,还不如好好收束暴露面 |
 | 55 datou 2 月 13 日 用硬防也行,有些硬防带的 VPN 服务启用就好 |
 | 56 dream2cast 2 月 13 日 你需要的是 VPN 或者 WAF 吧 |
 | 57 zhangthe9 2 月 14 日 我就一个 bpi r4+猫棒,跑 openwrt+dae 科学上网,替换 ISP 的光猫,无线设备用 ISP 给的路由器 |
 | 58 barnettluo1994 2 月 16 日 家用硬件防火墙的话。。。。 我反正用的 fortigate ,另外加了一个微步在线的 onesig ,然后用了微步在线的 onedns 。 已经算是做的比较好了 |
Select Language