设为首页收藏本站

 找回密码
 加入我们
搜索
      
Chiphell - 分享与交流用户体验»社区 讨论区-生活与技术的讨论 电脑讨论(新) ESXi虚拟机体验SOPHOS和OPNSense防火墙~
1234567下一页
返回列表 发新帖
楼主: leonqin

[网络] ESXi虚拟机体验SOPHOS和OPNSense防火墙~

[复制链接]
nn1122
发表于 2024-2-16 18:00 | 显示全部楼层
本帖最后由 nn1122 于 2024-2-16 18:11 编辑
pdvc 发表于 2024-2-16 14:12
v6目前的网络常识就是这样的,不是你说有限就能改变的。

ip都暴露了,v4 v6就没区别了。现在各种网络攻 ...


v4因为NAT多年的存在,也就是普通路由器在NAT的转换时候把入站端口全部禁止了,所以才有现在的安全,而V6这种公网地址没有NAT的存在所以终端设备直接暴露在公网中,地址很容易被获取从而进行端口漏洞扫描和利用。另外攻击有很多种,防火墙种类也不同,比如抗DDOS有专业的抗DDOS防火墙,web应用防火墙WAF专防HTTP/HTTPS应用,扫描只是一个前奏,各种暴力破解和自动化渗透测试才是其主要手段
回复

举报

coolbo
发表于 2024-2-16 18:30 来自手机 | 显示全部楼层
nn1122 发表于 2024-2-16 18:00
v4因为NAT多年的存在,也就是普通路由器在NAT的转换时候把入站端口全部禁止了,所以才有现在的安全,而V6 ...

大部分路由器、防火墙,默认WAN策略in drop、out accept,有些严格的默认全部都是drop,安全不安全跟V4还是V6没有关系
回复

举报

m1ngh
发表于 2024-2-16 19:01 | 显示全部楼层
leonqin 发表于 2024-2-16 13:11
PA的价格有点高哦,咸鱼上和40F差不多价位的应该就是SRX320了,但硬件配置和性能指标貌似比后者差很多。 ...

虚拟机版本
回复

举报

nn1122
发表于 2024-2-16 19:03 | 显示全部楼层
coolbo 发表于 2024-2-16 18:30
大部分路由器、防火墙,默认WAN策略in drop、out accept,有些严格的默认全部都是drop,安全不安全跟V4还 ...

我说的是普通路由器对于公网上的各种攻击,由于NAT转换成内网,所以避免了每个接入终端的有漏洞的端口暴露在公网上,当然DDOS这种洪水攻击是一般路由防火墙难以抵御的。现在越来越多的普通路由器/企业防火墙对于V6默认策略就是入站全禁止,像移动就把手机移动网络的V6禁止入站,你手机操作系统的任何端口都不能被别人扫描到,从而很大程度上避免被远程攻击
回复

举报

m1ngh
发表于 2024-2-16 19:05 | 显示全部楼层
疾风之仁 发表于 2024-2-16 12:41
40f 什么价格靠谱,1500买了个全新的

没关注过40F的黄鱼价格,但60F就这个价差不多 运气好能找到未注册的
回复

举报

coolbo
发表于 2024-2-16 19:11 来自手机 | 显示全部楼层
m1ngh 发表于 2024-2-16 19:05
没关注过40F的黄鱼价格,但60F就这个价差不多 运气好能找到未注册的

60F,二手注册的能碰见个2000价位都算好价了吧
回复

举报

疾风之仁
发表于 2024-2-16 19:13 | 显示全部楼层
发现fortios 的上网行为管理好像不错,家里有小孩的话,拒绝黄赌毒还是可以的
回复

举报

m1ngh
发表于 2024-2-16 19:18 | 显示全部楼层
coolbo 发表于 2024-2-16 19:11
60F,二手注册的能碰见个2000价位都算好价了吧

什么啊,1600我都问到好几个都是刚下架的,只不过是被秒的
回复

举报

疾风之仁
发表于 2024-2-16 19:23 | 显示全部楼层
m1ngh 发表于 2024-2-16 19:18
什么啊,1600我都问到好几个都是刚下架的,只不过是被秒的

60f发现一个全新 1200的,我已经下单了
回复

举报

coolbo
发表于 2024-2-16 19:24 来自手机 | 显示全部楼层
疾风之仁 发表于 2024-2-16 19:23
60f发现一个全新 1200的,我已经下单了

我发现你们真nb啊…我60E还花了1200….不过是带授权的
回复

举报

pdvc
发表于 2024-2-16 19:40 来自手机 | 显示全部楼层
本帖最后由 pdvc 于 2024-2-16 19:48 编辑
nn1122 发表于 2024-2-16 18:00
v4因为NAT多年的存在,也就是普通路由器在NAT的转换时候把入站端口全部禁止了,所以才有现在的安全,而V6 ...


写这么多,攻击不还是从扫描开始的么,v6之所以安全性高就是躲开这个了

而且还是家用……
回复

举报

nn1122
发表于 2024-2-16 19:47 | 显示全部楼层
pdvc 发表于 2024-2-16 19:40
这个还用写出来么,家用,亲

不仅是家用,企业级路由器在处理V4数据,不一样是NAT吗,当然这个跟我国V4地址不够也有很大关系,从安全层面来说,NAT避免了大部分来自互联网的攻击,你是没见到20年前Win98/XP时代直接通过拨号来上网这种,木马蠕虫病毒直接进入操作系统进行破坏真的是很惨
回复

举报

疾风之仁
发表于 2024-2-16 19:51 | 显示全部楼层
coolbo 发表于 2024-2-16 19:24
我发现你们真nb啊…我60E还花了1200….不过是带授权的

本来准备买个二手60e玩一玩,看了下参数,咸鱼多逛了几圈60f 40f,发现还是有一些着急低价售出的,也不知道他们的货哪里来的
回复

举报

pdvc
发表于 2024-2-16 19:53 来自手机 | 显示全部楼层
nn1122 发表于 2024-2-16 19:47
不仅是家用,企业级路由器在处理V4数据,不一样是NAT吗,当然这个跟我国V4地址不够也有很大关系,从安全 ...


这,有点跑题了吧,我们这讨论的是家用环境啊。

拨号用过,而且就是因为v4才能很快从公网传播的……
回复

举报

m1ngh
发表于 2024-2-16 19:55 | 显示全部楼层
疾风之仁 发表于 2024-2-16 19:23
60f发现一个全新 1200的,我已经下单了

可以 再花十块钱把特征库更新一下 完美
回复

举报

疾风之仁
发表于 2024-2-16 20:10 | 显示全部楼层
m1ngh 发表于 2024-2-16 19:55
可以 再花十块钱把特征库更新一下 完美

fortigate没有授权的话,有哪些功能可以正常使用,我看vm版本fortigateOS 没什么内容
回复

举报

m1ngh
发表于 2024-2-16 20:20 | 显示全部楼层
疾风之仁 发表于 2024-2-16 20:10
fortigate没有授权的话,有哪些功能可以正常使用,我看vm版本fortigateOS 没什么内容 ...

dns过滤,web过滤不能用,ssl sdwan基本功能都能用 ips av 都能用
回复

举报

疾风之仁
发表于 2024-2-16 20:26 | 显示全部楼层
m1ngh 发表于 2024-2-16 20:20
dns过滤,web过滤不能用,ssl sdwan基本功能都能用 ips av 都能用

dns过滤,web过滤不能用 这2个感觉是个核心卖点
回复

举报

leonqin
 楼主| 发表于 2024-2-16 21:22 | 显示全部楼层
coolbo 发表于 2024-2-16 19:24
我发现你们真nb啊…我60E还花了1200….不过是带授权的

是啊,这哥们真的是最佳买手了。。。我是没见过那么好价的40F和60F的,之前也经常刷咸鱼找FortiGate的机器。
回复

举报

leonqin
 楼主| 发表于 2024-2-16 21:40 | 显示全部楼层
疾风之仁 发表于 2024-2-16 20:26
dns过滤,web过滤不能用 这2个感觉是个核心卖点

其实影响不大的,至少对于家用路由器场景来说最重要的路由和基础防火墙这两块功能很完整,相当可用。
回复

举报

BH1PXK
发表于 2024-2-17 16:20 来自手机 | 显示全部楼层
pdvc 发表于 2024-2-15 01:38
不如先换个2.5G LAN的光猫,突破下千兆,提升比折腾这些多。

下行突破千兆意义不大。还不如装两条宽带突破下上行,速度。
回复

举报

BH1PXK
发表于 2024-2-17 16:30 来自手机 | 显示全部楼层
我用华为路由的防火墙,默认关闭端口,只开放特定端口,然后内网服务器端口只在特定时间开放
回复

举报

leonqin
 楼主| 发表于 2024-2-17 18:15 | 显示全部楼层
BH1PXK 发表于 2024-2-17 16:30
我用华为路由的防火墙,默认关闭端口,只开放特定端口,然后内网服务器端口只在特定时间开放 ...

华为的企业级防火墙吗?好不好用?看到小黄鱼上很多在卖,有些全新的价格也不贵。
回复

举报

pdvc
发表于 2024-2-18 02:18 | 显示全部楼层
BH1PXK 发表于 2024-2-17 16:20
下行突破千兆意义不大。还不如装两条宽带突破下上行,速度。

PT抢种子还是很有用的,而且有的宽带套餐是绑定上行的,比如2000M给的200M上行。
回复

举报

nn1122
发表于 2024-2-18 08:35 | 显示全部楼层
pdvc 发表于 2024-2-18 02:18
PT抢种子还是很有用的,而且有的宽带套餐是绑定上行的,比如2000M给的200M上行。 ...

分地区和运营商,像联通就有单独的提速包,哪怕是500M下行套餐,也能提到200M以上,甚至还有0元上行提速包
回复

举报

coolbo
发表于 2024-2-18 08:41 来自手机 | 显示全部楼层
看来在PPPoe下,40F也很拉垮,60F估计也一样,看来还是得期待运营商啥时候转换成IPoE了

IMG_7828.jpeg
回复

举报

leonqin
 楼主| 发表于 2024-2-18 08:44 | 显示全部楼层
本帖最后由 leonqin 于 2024-2-18 09:03 编辑
coolbo 发表于 2024-2-18 08:41
看来在PPPoe下,40F也很拉垮,60F估计也一样,看来还是得期待运营商啥时候转换成IPoE了

...


我就是看了生菜在闲鱼的产品文字才动心入手30E的,倒是没注意到他也测了40F。不过看生菜的文字之前在知乎上看了另外一个大咖的文章,家里用的60E POE那款,说千兆宽带可以跑到900M这样,和生菜的测试结果差不多。不知道G系列那些带10G口的,能不能突破千兆了。
回复

举报

蓝色星芒
发表于 2024-2-18 10:11 | 显示全部楼层
opensense使用中,很好用,就是日志有点大……
回复

举报

leonqin
 楼主| 发表于 2024-2-18 10:29 | 显示全部楼层
蓝色星芒 发表于 2024-2-18 10:11
opensense使用中,很好用,就是日志有点大……

不错啊,是虚拟机安装还是直接物理机安装的?
回复

举报

蓝色星芒
发表于 2024-2-18 10:35 | 显示全部楼层
leonqin 发表于 2024-2-18 10:29
不错啊,是虚拟机安装还是直接物理机安装的?

虚拟机安装的。
可以单线多拨,策略也可以生效,功能挺好用的,就是日志吃硬盘太狠了
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

Archiver|手机版|小黑屋|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2025-4-22 05:38 , Processed in 0.012781 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2007-2024 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表