尋求適合的防火牆 (小企業&工作室)

54timtim
個人積分：1分
文章編號：54173750

1分

樓主

2015-01-23 11:31

工作室有防火牆的需求，但因為對這方面算是完全外行

需要版上專業的建議

規劃上只會把防火牆裝在特定需求的電腦(Limux系統一台)

該特定電腦平時就是去網路server下載約 500-800GB/per day 的工作檔案

由於這些工作檔案涉及商業機密需要絕對避免被外部入侵或擷取

同時下載檔案必須順暢(因為有延遲就會拖累進度)

預算上希望只要符合上面需求不用其他特定功能就好

希望版上能提供建議的設備或方向來協助

先在這邊謝謝大家!!!

2015-01-23 11:31 發佈

文章關鍵字防火牆企業工作室

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：54173919

664分

2樓

2015-01-23 11:40

Firewall設備通常是為了保護區域內網路並阻止外來連線的攻擊，如果你是特定電腦，就直接在Linux裡面設定Firewall就好了，況且這台特定電腦也多半是在分享器後面吧？！難道你直接讓該電腦單獨Public IP對外？

nwcs

nwcs
個人積分：5972分
文章編號：54174383

5972分

3樓

2015-01-23 12:03

54timtim wrote:
由於這些工作檔案涉及商業機密需要絕對避免被外部入侵或擷取
同時下載檔案必須順暢(因為有延遲就會拖累進度)

我會考慮VPN或遠端登入機制,
話說是去網路server下載當CLIENT端,PC又不是當SERVER會暴露在外網,不必花太多精力在對外部份,網路要穩定夠快,也要考慮備援,防駭的話,當然基本的防火牆還是要有的,但內部管理比較重要,我會把所有的資料和機器加密上鎖做權限管制.與其防外賊不如把精力拿來做好資安控管.

54timtim wrote: 500-800GB/per day

真的假的,不覆蓋的話,2天就要1TB-1.5TB,資料要怎樣存放?很好奇是要用什麼設備?

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：54177336

664分

4樓

2015-01-23 14:58

54timtim wrote:
該特定電腦平時就是去網路server下載約 500-800GB/per day 的工作檔案

nwcs wrote:
真的假的,不覆蓋的話,2天就要1TB-1.5TB,資料要怎樣存放?很好奇是要用什麼設備?

Synology DiskStation DS2415+
電腦的話是有點麻煩，用DS2415+的話，每顆硬碟6TB的話，12顆就有72TB了。如果再搭一台Synology DX1215就可以到144TB，應該夠用了。

nwcs

nwcs
個人積分：5972分
文章編號：54178770

5972分

5樓

2015-01-23 16:15

Mason.Lyu wrote:
Synology D...(恕刪)

144T不蓋檔也撐不到5個月,何況重要資料大多是永久保存的.
另外不必做資料備援嗎,這麼龐大的資料有個萬一,就算可以重抓檔案也是夠嗆的,光建置成本應該不是樓主所謂小企業&工作室的等級了..

54timtim

54timtim
個人積分：1分
文章編號：54179309

1分

樓主

2015-01-23 16:45

因為專門接國外案子，所以有特殊要求

該特定電腦所在環境保安甚嚴，檔案是中繼的待加工影像檔所以非常龐大

硬碟水位大概上千而已，但結案會重複使用所以使用量不是太大問題

回歸正題，該特定電腦的確只是連到國外SERVER下載檔案，不會做對外開放的SERVER

但難這樣難道外面就無法入侵嘛?我們是有買一個家用級約5大洋的硬體防火牆

開dos下載會被鎖住，不開可以下載但過一段時間會出現Error code

公司高層才想說是不是該換一台企業用的，但我們對這個完全無經驗無從從挑起

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：54179654

664分

7樓

2015-01-23 17:02

nwcs wrote:
何況重要資料大多是永久保存的.

有一種東西叫做「磁帶」

54timtim wrote:
開dos下載會被鎖住，不開可以下載但過一段時間會出現Error code

什麼叫做「開dos下載」？

nwcs

nwcs
個人積分：5972分
文章編號：54180649

5972分

8樓

2015-01-23 17:57

接2張網卡,1對內,1對外,要下檔時才啟用對外網卡,下完直接斷網,重點是減少暴露的時間,並做好公司整體的防駭防毒管理,HDD用1TB OR 960G SSD應該夠用了..
下檔安全機制主要是在SERVER上,CLIENT除非被植木馬側路或遙控,否則檔案傳輸這一段不必太擔心會被攔截.你要擔心的是資料到你公司,如何管理的問題.

資安等級跟費用是成比例的.光要絕對避免被外部入侵或擷取,費用就可多可少,但可以確定的是不是消費等級設備能做到的,所謂資安是一種制度而不是一台機器,而一班經驗法則都是敗在內賊身上.樓主這方面似乎還沒概念,建議你可考慮請資安顧問公司協助.

54timtim wrote:
因為專門接國外案子，...(恕刪)

流浪不想去淡水

流浪不想去淡水
個人積分：1530分
文章編號：54185141

1530分

9樓

2015-01-24 0:25

規劃上只會把防火牆裝在特定需求的電腦(Limux系統一台)

只要把linux 內建防火牆 iptables打開就好啦~~比大多數便宜防火牆強多了
你這台主機不需要對外提供服務吧？

如果只需拉資料跟讓辦公室內網連的話~~
簡易版設定指令
以下最好在本機端操作，不然可能會把自已給鎖在外面~
INNET="192.168.123.0/24" #你內網的網段

iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -s $innet -j ACCEPT

上面貼去linux下執行就能鎖住所有外來連線了
~怕你下錯~~下面是把iptables解開的指令

iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

最好是用一隻sh存，這樣比較好執行

流浪不想去淡水

流浪不想去淡水
個人積分：1530分
文章編號：54185263

1530分

10樓

2015-01-24 0:36

54timtim wrote:
該特定電腦的確只是連到國外SERVER下載檔案，不會做對外開放的SERVER...(恕刪)

如果透過分享器上網，你的主機連真實ip都沒有，是沒辦法駭進去的~~
除非你的分享器被破解，然後被打開"虛擬伺服器"對應到你內部的機器~~
又被猜到主機的帳號密碼~~然後資料才會被拿到~

但是"攔截"就不一定了，防止中間被攔走的話，要走加密，比如建vpn，或是使用scp(ssh的傳檔功能)
或對方開啟https讓你用https協定下載，如此中間被攔走的會是加密過的封包，沒用處~~
傳統ftp就是一種明碼傳送，會被攔到的~~