预算:能DIY就不付费;上限抓硬体防火墙20,000台币左右
用途:个人WordPress及家庭相簿TrueNAS,打算买CloudFlare域名
规画中的想法:CloudFlare DDNS + 免费方案防护(防DDoS 攻击、提供SSL/TLS、WAF)
请问这样是否足够了?
还是建议pfsense/opnsense或买硬体防火墙?
7 个回答
- 旧至新
- 新至旧
- 最高Like数
3
echochio
iT邦高手 1 级 ‧ 2024-11-08 16:38:35
最佳解答
CloudFlare 要打挂不容易,把CloudFlar CDN IP 设定白名单
https://www.cloudflare.com/zh-cn/ips/
其他IP都封了
再来就是 入侵防护(IPS) 针对软体漏洞
可以买最简单的 HiNet IPS 入侵防护服务
8
Ray
iT邦大神 1 级 ‧ 2024-11-08 16:18:10
资安没有所谓:够不够的问题, 你花个几亿建置, 照样有人可以把你打垮.
资安要看的是风险, 你把风险依序排列下来, 从风险最大的开始, 往下处理.
如果有几十个风险, 通通要处理完吗? 也不尽然....
风险对策有四种:
1.接受:风险在可容忍範围内,忽视不处理。
2.规避:风险在可容忍範围外,处理成本高于利益时,採取不涉入或退出风险。
3.抑减:依风险评估结果,研议及採取适当内部控制或其他机制,降低风险发生之可能性及影响程度,将风险控制在可容忍範围内。
4.移转:藉由其他团体承担或分担部分风险,降低风险对本身之影响程度。
风险算到最后, 终极的关键就是: 财损,
你可能面对多少财损? 决定你应该投入多少资安成本.
投入成本超过可能的财损, 就是不合理; 没超过的话都合理, 剩下甘不甘愿的问题而已.
1
mytiny
iT邦超人 1 级 ‧ 2024-11-08 20:29:47
不能做内容层防护的Firewall防火墙
早就不适合做威胁防御
能做内容层防护的NGFW次世代防火墙
没有解密SSL凭证以扫描内容
其实几乎等于瞎子,什么都看不到
如果给电信业者託管
能够替网路流量解密检查吗?
那些AV/IPS还能有多少作用?
网站的防护则更为複杂
很可能是合法的访问却作恶意的行为
这种需要样本比对又不能解密看内容的NGFW基本就废了
现在出资安事件
是要怪防火墙没作用吗?
通常都是资安观念不到位吧!
1
CyberSerge
iT邦好手 1 级 ‧ 2024-11-09 09:34:57
CloudFlare 免费方案的WAF是很阳春的,要防护OWASP top 10需要使用付费方案
https://www.cloudflare.com/plans/
-
2 -
-
kawa0710
iT邦研究生 4 级 ‧
2024-11-09 12:05:31
感谢您的讯息!没认真看还以为免费有
修改
CyberSerge
iT邦好手 1 级 ‧
2024-11-10 04:19:06
而且免费方案的DDoS也是有限制的,只有L7,不包括L3
修改
1
yomojak811
iT邦新手 5 级 ‧ 2024-11-10 12:26:12
CloudFlare防护完全不够喔 有些骇客可以绕过CloudFlare 网站需要安装端点防护才够
也就是网站本身需要有L7的防火墙 然后你也需要L3的硬体防火墙 这样才能够完整防护 这样全部弄下来预算不少喔 託管会比较划算
我是因为兴趣没在管预算的 如果你有预算託管是比较划算的
1
MatthewWangUS
iT邦新手 2 级 ‧ 2024-11-11 09:11:08
依我管理跟解决众多wp问题。
如有 firewall 只开 80/443/22
可装 ModSecurity WAF。但需有心里準备需自行依环境开白名单。
wp-login.php/plugin-install 最好挡来源 ip .
每天 monitor 使者用登入 ip/国家
定时 reset 密码。
外挂全开自动更新。
-
1 -
-
kawa0710
iT邦研究生 4 级 ‧
2024-11-12 08:28:36
感谢您
修改
1
㊣浩瀚星空㊣
iT邦大神 1 级 ‧ 2024-11-12 15:55:26
我个人是自架的。也有自已的相册。也连接我家的电视看影片啥的。
资安????
我只开放内网的部份。
而外部採用IP及验証 mac 来处理。也就是只有手机、还有我允许的IP才能连结用
啥防火墙也没用。用的也只是6000多的器。
我只做了异地备份。也在内网但不开放外部连结,且採用的是静像档储存方式。
SERVER是一台一般电脑,也不是SERVER等级的。