 |
1
renfei 19 小时 13 分钟前  1
飞牛那事儿需要的是 WAF ,软件 WAF 就够用,比如雷池?
家用用不着硬件防火墙,流量没那么大 |
 |
2
libregratis 18 小时 47 分钟前
个人用 RouterOS 足够了,或去折腾 OPNsense ,不过其实没必要
|
 |
3
icecap 18 小时 38 分钟前
飞牛这个事情的启示是,不让家里的服务暴露在公网上.
就算暴露也得是成熟的系统. 比如 Windows(开启更新打满补丁)的 3389 rdp,只要密码够强,很难被攻破 |
 |
4
geniussoft 18 小时 34 分钟前 via iPhone
飞牛……
什么防火墙也没有用。 真想安全,换群晖…… |
 |
5
folnet 17 小时 58 分钟前
咸鱼二手 paloalto, juniper, fortinet
|
 |
6
zyq2280539 17 小时 38 分钟前
硬件服务我觉得家用也没啥必要吧,真正对外的服务都要多包装一层,比我就用 nginx 只开放 80 和 443 端口,后面一堆子域名,只要子域名不正确就根本访问不到服务的系统,这就能减少很多针对特定系统特定端口的扫描了。。。不过最近也遇到了 wordpress 的定向扫描,最稳妥的办法还是上 cdn ,cdn 封杀太简单了,设置下规则就完事儿了
|
 |
7
Lentin 17 小时 36 分钟前
不需要防火墙,只需要组网就够安全了,不要开公网暴露面,代价就是每个客户端都要装组网客户端
|
 |
8
pingdog 17 小时 25 分钟前 via Android
fortinet 是相较便宜的 L7 防火墙厂商了,license 一年 4 千多 5 千,入门的硬件 4 千多。不买 license 和你手动配个 nftable 没区别
|
 |
9
glamour 16 小时 42 分钟前
飞牛这个漏洞
是你买啥防火墙都没有用的 |
 |
10
aigkjo 16 小时 22 分钟前
路由器应该都是默认禁止入站的吧?禁止家里所有服务在公网就行了。而且飞牛这种你没法防。只能用其它方案解决问题,比如 vpn 回家再用内网访问?
|
 |
11
LnTrx 16 小时 19 分钟前
7 层的攻击买额外硬件反而麻烦,硬件的处理能力未必比你的 NAS 强
|
 |
12
opengps 16 小时 10 分钟前
硬件防火墙主要是处理端口连接安全的,不是处理应用层的,飞牛这个问题不适用硬防
|
|
13
opengps 16 小时 9 分钟前
如果你在 win 环境有这种漏洞,火绒都能给你识别出来这是非法路径攻击
|
 |
14
abcbuzhiming 16 小时 6 分钟前 1
很多人不知道的是,你的那台路由器就是一台最简单的硬件防火墙,因为 NAT 默认是禁止外部连接进入的,问题是现在大部分人直接把自己的内部服务暴露在公网上,这样就算你买了一台硬件防火墙,你照样防不住飞牛这样的漏洞
|
 |
15
fairytale 15 小时 2 分钟前 via Android
买个二手飞塔 60e ,咸鱼几块钱买份离线库更新。
|
 |
16
hefish 14 小时 54 分钟前
我觉得红米就够了。 实在要暴露端口,还是要上 雷池,免费版至少搞一个吧
|
 |
17
yohole 14 小时 38 分钟前
我对 NAS 的理解一直都是备份、所以从来都是只局限于内网的,所有 NAS 的安全问题都是开了公网访问权限有关
|
 |
18
saltedfishgames 14 小时 2 分钟前
@pingdog 不买的话就入侵防御特征库无法更新,其他特征库都是支持离线更新的。不过你这么说也没啥毛病。
|
 |
19
LaoChen 13 小时 58 分钟前
@pingdog 好奇一下,这些硬件防火墙的高级 license 特征库,能防范应用层攻击?针对 https 流量,https 证书要配置在防火墙上?其他应用层加密的流量,也都需要把证书配在防火墙上?
|
 |
20
yolee599 13 小时 41 分钟前 via Android
尽量选择大厂的产品,小厂的产品往往是以开发新功能为主,这是和业绩直接挂钩的,安全是排在最后的,甚至没有专门负责安全的人
|
 |
21
WuSiYu 13 小时 17 分钟前
“防火墙”概念太宽泛了,iptables 、DPI 流量检测、IDS/IPS 、WAF 都是不同的东西,后面几种的特征库基本都是要钱的
另外我在用的 unifi ucg fiber 网关自带免费的 DPI 和 IDS/IPS ,但我感觉图一乐,平时也就帮你拦截一些脏 ip |
|
23
pingdog 13 小时 5 分钟前 via Android
@saltedfishgames 忘了从 7.4 还是 7.6 ,开始阻止没 license 的离线更新了。。
|
 |
24
tomczhen 13 小时 0 分钟前
应用层入侵检测能选择的不多,opnsense 可以考虑一下,不过搞这么麻烦不如搭个 VPN 回家而不是暴露内网服务到公网。
|
 |
25
inframe 12 小时 31 分钟前
不要开公网上就好了
|
 |
26
miyuki 12 小时 23 分钟前 via iPhone
你这需求 vpn 直接秒了
|
 |
27
91pornshanghai 12 小时 10 分钟前
换个移动宽带
|
 |
28
imnpc 12 小时 7 分钟前
一般路由就解决了 不要随意对外开放端口
我用的 ikuai |
 |
29
YGBlvcAK 11 小时 29 分钟前 via Android
没必要,不如直接用 vpn
|
 |
30
dxppp 11 小时 2 分钟前
|
|
31
geniussoft 10 小时 41 分钟前 via iPhone
|
 |
32
kiracyan 10 小时 16 分钟前
好陌生的词
|
|
33
saltedfishgames 9 小时 29 分钟前
@pingdog 这么恶心?那还是算了,几年前咸鱼淘过一台 60e ,好像刷到 7.4 版本还能离线更新。tftp 刷进去就行了,不过他家的特征库有点水土不服。试过把那个网络色情和暴力的网站 block 掉,然后抖音开始很卡了,刷视频和直播都卡,完全黑屏那种。转发能力也不是很强,60e 全部过滤都开了的情况下转发只剩下 500M 出头了,而且对 ipv6 的支持不太行,经常拨号获取不到地址,或者 wan 获取到下面的设备获取不到,甚至都获取到了但是就是无法转发出去。各种折腾,下次也不太考虑它家产品了
|
|
34
saltedfishgames 9 小时 26 分钟前
楼主要飞塔 60E 吗?我这刚好有一台闲置几年了,刷好 7.4 系统。便宜出了
|
 |
35
ZRS 9 小时 22 分钟前
飞牛的问题防火墙解决不了
|
 |
36
just4id 9 小时 16 分钟前 via iPhone
VMware edge 620/640
|
 |
37
benjaminliangcom 7 小时 55 分钟前
二手 paloalto NGFW 呗,几百块,不过好像吞吐量不高
|
 |
38
Zenuncl PRO 基本上就是折腾 OPNsense 了
|
|
39
dxppp 6 小时 40 分钟前
@geniussoft 我看未必 一堆人嫌麻烦关闭更新
|
 |
40
Eytoyes 1 小时 37 分钟前
不带 license 的硬件是毛用没有。。。
|
 |
41
SayHelloHi 1 小时 22 分钟前
深信服 😁
|
 |
42
roma 53 分钟前
@saltedfishgames 什么价?是否可以解绑
|
 |
43
Autonomous 14 分钟前
@icecap 默认端口还是比较危险,太多扫描的了,我一般会映射到高位端口去
|
Select Language