关于家用软防火墙的选择
目前使用的是all in one,基于windows+hyperv。现在跑了虚拟机,ikuai,三个debian系统。其中1个是主要业务;1个是各种sql等支撑,基于docker;还有1个debian是其它用途;另外还有几个虚拟机不一一阐述了。
现在ikuai的使用跟不上需求,很多查询做不到。现在想换个软路由,或者软防火墙。
要求:
1、日志、监控要全面一点
2、安全性强些,最好带dpi,ids,不能兼有的话那就要ids吧
3、可以支持单线多拨和负载均衡调整
4、带qos
5、支持1G以上吞吐量
6、dns,去广告这些可以没有,有单独的adg来搞了
有想法是ikuai专注拨号,后面加个ipfire,ipfire后面是内网;ikuai和ipfire中间在另起一个IP段,这样ipfire就是三层的firewall,基本所有功能都能用,但是无故的增加了1个网络节点,而ipfire本身不支持多wan口负载均衡,只支持多wan的热备……
各位大佬有啥好的办法?硬件设备暂不考虑,机柜没有空间了,所以只考虑软的 那就是pfsense/opnsense了 家用要IDS干嘛,,,
要不上NGFW? panabit吧,免费版的,你这些都能满足 tankren 发表于 2023-9-25 13:39
家用要IDS干嘛,,,
要不上NGFW?
就是因为没空间了,不然就上ngfw了…… 有虚拟机版的NGFW,比如usg6000v和vfw1000,但是个人用户怎么买授权就是个大问题 opnsense,免费开源使用放心,可以加IDS这些插件,只是一般人玩不转 网上淘个飞塔30e 不过授权有点麻烦 山石网科的NGFW可以就怕你玩不转,不过手册也都有。下载地址去官网注册个账号登录知识库就可以下载到了。不过授权只有30天。H3C也有vFW这个更怕玩不转去官网用通用账号就可以下载。https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif qq775812376 发表于 2023-9-25 14:46
网上淘个飞塔30e 不过授权有点麻烦
还是60e起步,太低端的不行 sonicwall、飞塔这些硬墙,价格便宜量又足 目前给公司用的就是深信服的NGFW,AC,SDWAN,所以不存在玩不转,不过授权那是真贵。不过软件的真的玩的不多,研究研究吧。 我先虚拟化试试opensense,不知道和pfsense是不是类似,我在公司装了pfsense,主要用来做内网的打通的,和sdwan组建双环备份。
pfsense用起来还是有点不直观,不知道opensense怎么样。
硬件的好是好,效率高,缺点就是授权贵,个人用奢侈了,或者我可以等公司的淘汰下来[狂笑] 我也有防火墙的需求,就是开放外网访问权限后能防护阻挡恶意入侵扫描的,看好硬件防火墙飞塔和华为USG6331E,但防火墙这种产品不是一次投入终身可用的,高昂的授权价格让人望而却步 红色狂想 发表于 2023-9-28 11:32
我也有防火墙的需求,就是开放外网访问权限后能防护阻挡恶意入侵扫描的,看好硬件防火墙飞塔和华为USG6331E ...
目前我已经安装了opnsense在虚拟机,正在做测试,目前搞定了多拨,可以获取到IP了。但是在测试叠加等等问题,测试没问题就会从爱快,转到opnsense去。
硬件防火墙是持续投入,授权不便宜 硬件防火墙要达到QOS+1G很难,本身防火墙过滤是软的,流量可以硬件加速,但是上QOS后流量也是软的,根本撑不起。 rx_78gp02a 发表于 2023-9-28 14:16
硬件防火墙要达到QOS+1G很难,本身防火墙过滤是软的,流量可以硬件加速,但是上QOS后流量也是软的,根本撑 ...
sophos xg,带asic加速,可以跑到30g…… 蓝色星芒 发表于 2023-9-28 14:07
目前我已经安装了opnsense在虚拟机,正在做测试,目前搞定了多拨,可以获取到IP了。但是在测试叠加等等问 ...
放弃ikuai是对的,opnsense的强项是防火墙呀还是路由转发呀,跑业务达不到RouterOS的性能吧? summerq 发表于 2023-9-28 14:29
sophos xg,带asic加速,可以跑到30g……
家用搞个tnsr就顶天了,内置asic的机器一般都很贵。 hkxyz 发表于 2023-9-25 16:12
sonicwall、飞塔这些硬墙,价格便宜量又足
飞塔的软件使用费不便宜,大几千一年 本帖最后由 Krakenius 于 2023-9-28 15:47 编辑
rx_78gp02a 发表于 2023-9-28 14:16
硬件防火墙要达到QOS+1G很难,本身防火墙过滤是软的,流量可以硬件加速,但是上QOS后流量也是软的,根本撑 ...
防火墙有吞吐量的,厂商会标开了应用识别和Treat Prevention之后的吞吐量是多少,一样有超过1G吞吐量的,给多少钱而已 opnsense可以装一个Zenarmor插件,装了之后就有应用识别功能了 本帖最后由 7hfi0bu6 于 2023-9-28 15:59 编辑
冒昧的问一句,一直有个疑惑,你们把家里搞得跟个IDC一样是要干嘛啊?
下班以后是电视剧不好看了还是游戏不X好玩了?家里折腾这些难不成是要窥探家人隐私。。。[困惑]
我也算是个老运维了,家里就一个ER-X配合uap-HD,加上2个傻瓜千兆交换和一个桌面nas,已经用得很舒服了。
平时上班已经够烦了,下班了就想好好休息娱乐下。只要保证家里网络基础设施的稳定就很happy了。 7hfi0bu6 发表于 2023-9-28 15:58
冒昧的问一句,一直有个疑惑,你们把家里搞得跟个IDC一样是要干嘛啊?
下班以后是电视剧不好看了还是游戏不 ...
厨师回家不喜欢做饭,运维回家不搞网络,这是正常的。但是反过来想,其他职业者,回家想放松放松,折腾网络,这不是也蛮正常的嘛 summerq 发表于 2023-9-28 16:06
厨师回家不喜欢做饭,运维回家不搞网络,这是正常的。但是反过来想,其他职业者,回家想放松放松,折腾网 ...
也对,忘了生命在于折腾了。
其实他这个需求买个深信服的行为管理,配成网关模式,替掉路由,基本上就满足了。
除了放不进弱电箱,其它没啥毛病,耗电,噪音都不大。 家用adsl都是动态ip,且不说大内网,就算你有公网ip,过两天运营商也给你强行断开切换,只要不是太差的路由器自带的防火墙完全够用,家庭搞商业 防火墙,纯粹太闲了https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif 飞塔50e跑不到1GB的,大概950左右,看咸鱼卖家说的。你要达到1GB的话得加钱,还挺贵。 蓝色星芒 发表于 2023-9-25 16:42
我先虚拟化试试opensense,不知道和pfsense是不是类似,我在公司装了pfsense,主要用来做内网的打通的,和s ...
淘汰下来的授权不也过期了么 单位很多防火墙是UTM,过期基本的防火墙功能还是永久使用,但UTM单元就不行 本帖最后由 蓝色星芒 于 2023-10-13 10:03 编辑
colo 发表于 2023-10-12 15:03
淘汰下来的授权不也过期了么
过期的话,大部分只是特征库不能升级,但是其它功能基本还是可以用的,其实要求稍微高点的家用是可以的,特征库里的东西一般轻易不会搞家庭。
我这是因为有一些业务在家里,op是因为稳定性和效率不够,不编译插件进去太原始,编译了效率和稳定性相对低。ikuai免费版是普通家庭的使用够了,就是只要拨号,甚至是多拨的够了。但是对于有业务的细节管控还是差了点,也看不到攻击来源。所以想换个防火墙试试,硬件的话,占空间。所以先试试软件
页:
[1]
2