VincentHu 发表于 2024-7-3 23:32

感谢大家已完结 企业网络改造和管理软件安装

本帖最后由 VincentHu 于 2024-7-11 11:48 编辑

更新:

感谢大家的热情帮助,最后详细了解比较之后,选了360企业云   买了三年70个客户端
然后买了华为的AR6121EC-S

有这俩相关想了解的可以直接评论,能帮到的我都会回复




更新:   

    万分感谢大家的指点,经过这两天的测试和了解,我目前是准备   360云安全+华为AR6121EC-S路由器      

   1. 软件功能确实强大,不仅我想要的完全能满足,还多了很多很多方便远程运维的功能。 80块的版本功能列表我贴出来,给大家参考

   2. 对行为管理的需求,有很大程度的降低,降低到   能添加网站黑名单,就够了,这样360就能满足了   经过进一步确认,这方面并不需要太强大的行为管理功能。


我准备试一下火绒的   









给一个公司升级下网络                  百八十个电脑       俩AP


之前不归我管,这次他家分到我头上了。想搞好点。(在能满足要求的情况下,帮他家预算压底点)


我暂时是这种想法:

1. 最开始是想买防火墙,华为华三,看了两款,4200的和4500的,京东是七八千    但是这种机器的行为管理都需要授权,都得额外买,而且每年续费,原机只有一年使用权      限,   我需要带上网行为管理。华三的客服,说   如果用防火墙去解析很多https的加密网站,会极大损耗性能,导致防火墙性能被用掉大部分。
    我有点奇怪,我只需要黑名单呀,比如我屏蔽    百度的网址。为什么要它解析?   不是单纯的屏蔽就行了么?

2.想到这个之后,我就在想到底是防火墙+行为管理,带防火墙的行为管理,或者带行为管理的防火墙。

3.然后我突然想到,有个公司用的一个挺特别的软件。360安全云。 相当于360卫士+杀毒+防火墙+远程桌面+行为管理+计算机监控++++加好多功能

4.那这样,为了尽量安全,我再单独买一个防火墙   比如之前用的 飞塔 。下面只需要一个好点的交换机   再加上360安全云。是不是就足够安全并且功能强大。
   这个软件甚至我感觉远远   远远   超过了landesk和威盾的功能性。并且最重要的是,它比赛门铁克,诺顿,甚至江民,卡巴斯基,趋势,全都便宜。。


希望给我点意见      360企业安全云















要求如下:    要收费(很奇怪但是真的要的要求)

                     上网行为管理(不太需要了,有黑名单网址过滤功能就够了)
                     

phliar 发表于 2024-7-3 23:38

目前在金融外包公司上班,做网管。知道的基本都是银行、客服之类的网络要求。有意可以私我联系方式

VincentHu 发表于 2024-7-3 23:45

phliar 发表于 2024-7-3 23:38
目前在金融外包公司上班,做网管。知道的基本都是银行、客服之类的网络要求。有意可以私我联系方式 ...

好好 感谢感谢 我私一下

nn1122 发表于 2024-7-4 08:39

带上网行为的不一定要搞防火墙,中高端路由器就可以,可能还不要授权,比如H3C ER8300 G3/H3C MSR 3610/3620等等,也带有防火墙的一些功能,比如各种协议/数据包的控制过滤等等。还有360安全云这种,可以用,但其他安全厂商也有这个产品,叫EDR,比如深信服/安恒/天融信等等。可以多家比较看看

Wilson163abc 发表于 2024-7-4 08:42

之前自己研究,用过panabit行为管理,挺好用
要不考虑下标准的硬件路由+panabit

duoduoluo7 发表于 2024-7-4 08:44

你这个黑白名单的不算上网行为管理吧。
上网行为管理是基于应用层去做管控,可以做得更细,比如可以禁止微信发送/接收/图片或者文字/上传或者下载文件。
如果不需要这么做到这么细的管控,普通防火墙就能满足你的要求了。
可以看看这款安全一体机设备,还包含企业级杀毒。
https://www.qianxin.com/product/detail/pid/494

银月 发表于 2024-7-4 08:47

本帖最后由 银月 于 2024-7-4 08:52 编辑

你只需要黑名单的话连防火墙都不需要,tp的企业级就带行为管理,防火墙可以挂在前面做好本职工作就行

我看了看还挺细

7155071 发表于 2024-7-4 08:55

简单的行为管理没必要防火墙,大部分企业级网关就可以搞定了,比如**之类的,完全可以做到地址黑名单。

yaoiverson 发表于 2024-7-4 09:19

上网行为管理最好和防火墙分开2个设备

redog 发表于 2024-7-4 09:26

https的网址确实是需要进行解析的,所以好一点企业行为管理干脆在使用的电脑上安装证书和客户端,完美解决了监控和管理的问题,我只能说666

bchb 发表于 2024-7-4 09:39

别想有的没的,给自己找不痛快。
整个华为、h3c的防火墙就行了,基本功能都有,不需要那些个授权,最多加块硬盘存日志。

YoshinoSakura 发表于 2024-7-4 16:33

https确实是要解析的
你可能觉得,dns看看有没有黑名单,或者是ssl握手证书看看有没有黑名单域名就好

https://www.cloudflare.com/zh-cn/learning/ssl/what-is-encrypted-sni/
但配合上DOH还有SNI加密的话就歇菜了
实际上的https还更多花活

xiaoyu717 发表于 2024-7-4 17:00

12年前我做一个企业的网络管理时,用的一套winroute里面的管理,完全免费,需要屏蔽的网址手动添加。不过好像也就能屏蔽网址

时光清浅 发表于 2024-7-4 18:21

我们公司是外企,目前的结构就是最前端是核心防火墙,思科的ASA,做一些ACL和出口啥的,后面就是深信服的行为管理,用来限制一些软件访问和网站,再往后就是核心交换机了。供你简单的参考

TWSzzz 发表于 2024-7-4 20:53

1.如果只是屏蔽网站的话,防火墙甚至普通路由器都行就行了,没必要上行为管理,这种设备淘宝开专票就行吧,或者找找本地经销商,注意检查设备封条对一下官网SN就没什么问题,京东的厂家指导价很离谱
2.企业级杀毒软件其实还可以,设置的好能减轻桌面运维的压力,就是有的功能开多了电脑卡,设备不多一年LIC倒也没多少钱,多找几个品牌问问,功能大同小异
3.真的对安全很关注可以去看看等保要求,很多品牌全套方案都有,按需选购即可

chazikai24 发表于 2024-7-4 21:13

本人软硬件维护有超过十年的工作经验。恕我直言,可能我接触的企业少,我没见过使用华为华三的防火墙的企业。国产一般都是天融信,深信服的较多,防毒墙再加一个奇安信。
防火墙的话,看公司是否有服务器,是否需要对外发布业务。防火墙一定需要购买授权每年升级IPS库。如果没有就不需要防火墙,好一点的网关就行。
行为管理,行业内北天融信南深信服,每年需要买授权升级特征库。个人维护下来深信服的优于天融信。
EDR的话,目前火绒还行,天融信,深信服也有EDR,有一家是火绒换皮。

zxssddd 发表于 2024-7-5 10:00

你的行为管理是指啥

VincentHu 发表于 2024-7-5 17:27

nn1122 发表于 2024-7-4 08:39
带上网行为的不一定要搞防火墙,中高端路由器就可以,可能还不要授权,比如H3C ER8300 G3/H3C MSR 3610/362 ...

恩嗯感谢,有个客户家用的是edr   比较了一下准备给他家用360安全云,和华为的 AR6121EC-S

VincentHu 发表于 2024-7-5 17:29

zxssddd 发表于 2024-7-5 10:00
你的行为管理是指啥

软件方面他家没做什么限制,所以目前 侧重的还是类似    简单的网址黑白名单功能,基本就差不多了

就发帖那天,华为客服给我说了个解析 加密域名,给我搞蒙了,寻思上来问问

经过这两天了解,我是准备用360安全云+华为的AR6121EC-S    来做

VincentHu 发表于 2024-7-5 17:34

时光清浅 发表于 2024-7-4 18:21
我们公司是外企,目前的结构就是最前端是核心防火墙,思科的ASA,做一些ACL和出口啥的,后面就是深信服的行 ...

感谢感谢

VincentHu 发表于 2024-7-5 17:41

chazikai24 发表于 2024-7-4 21:13
本人软硬件维护有超过十年的工作经验。恕我直言,可能我接触的企业少,我没见过使用华为华三的防火墙的企业 ...

我们的其他客户公司基本都是飞塔,少量的深信服,这家其实也是深信服,但是问题是这个机器,中间有点时间 许可过期,由于他们公司审批流程耽搁了,现在得到的消息就是,无法续费了,而且深信服家的设备,只有当时和我们对接的那个人才能续费,说是别人根本不能给他续费,直接导致这个机器几乎就是残废了,所以我们就想着这次直接把它彻底换掉

经过这几天的了解, 我试用了一下360安全云,最开始我们的目光还是放在传统杀毒上,赛门铁克,诺顿,趋势等等,但是这种软件一个是繁琐,在一个价格确实高,而且效果其实并不是非常好,老哥你说的天融信火绒,我确实还没了解到,一会我去搜搜看,360云安全,我试用了两天,这个软件相对来说功能我感觉还是非常够的,而且由于360杀毒实际的效果,我们对他还是相对放心的,并且价格也只有赛门铁克的几乎三分之一。

我暂时是准备用360安全云,加上华为的AR6121EC-S    就不用专门的防火墙了,用路由带的防火墙功能,和软件方面这两种来代替   

VincentHu 发表于 2024-7-5 17:42

TWSzzz 发表于 2024-7-4 20:53
1.如果只是屏蔽网站的话,防火墙甚至普通路由器都行就行了,没必要上行为管理,这种设备淘宝开专票就行吧, ...

嗯嗯 感谢感谢, 刚刚在别的老哥回复里,看到了几个企业杀毒,我目前是360云安全,我准备在找一两个试用一下,看看具体效果和费用方面的区别

VincentHu 发表于 2024-7-5 17:44

YoshinoSakura 发表于 2024-7-4 16:33
https确实是要解析的
你可能觉得,dns看看有没有黑名单,或者是ssl握手证书看看有没有黑名单域名就好



我好像是明白了一点点,就是https的加密,我单纯屏蔽域名,是不一定起作用的,需要深一点的解析之后,才能屏蔽的更准确,是这个意思么

VincentHu 发表于 2024-7-5 17:46

redog 发表于 2024-7-4 09:26
https的网址确实是需要进行解析的,所以好一点企业行为管理干脆在使用的电脑上安装证书和客户端,完美解决 ...

老哥,那是不是说,比如我现在暂时是准备用,360云安全,他能直接在你电脑都360里,添加黑白名单,屏蔽网址,我测试了几个网站,添加黑名单之后,比如wwww.baidu.com确实是无法访问了

这是不是就已经算是达到目的了呢?
这样还可以给很多人比较直观的分组,分配允许的网站权限。

VincentHu 发表于 2024-7-5 17:47

银月 发表于 2024-7-4 08:47
你只需要黑名单的话连防火墙都不需要,tp的企业级就带行为管理,防火墙可以挂在前面做好本职工作就行

我看 ...

对,这功能在华为 和华三   就只随机器给一年使用权   之后就要买许可。,,

我暂时是准备用edr的 黑白名单直接在客户端上禁止访问

VincentHu 发表于 2024-7-5 17:48

duoduoluo7 发表于 2024-7-4 08:44
你这个黑白名单的不算上网行为管理吧。
上网行为管理是基于应用层去做管控,可以做得更细,比如可以禁止微 ...

那我懂了老哥,就是我的需求是用不到行为管理那么多功能的,我只需要简单的黑白名单名义上控制一下上网权限,就可以了,确实不需要细分到, qq 能发消息不能传文件,这么细致,这家对这方面的软件,没有这么严格的要求。

wujiwu 发表于 2024-7-5 17:57

本帖最后由 wujiwu 于 2024-7-7 08:25 编辑

给你参考。
面对电脑中毒arp欺诈、wifi共享、局域网环路、网络风暴等等


防火墙,网御 安全网关系统V3.0 power_V6000系列。做路由器、用的最多就是 mark黑名单攻击ip地址。偶然用arp 查 mac 地址 和ip地址关系。还有限流,nat策略等。

审计系统,网御上网行为管理系统V3.0,拿来搞封应用和网址(类似什么股票网站、特殊关键字 等)和禁用wifi共享(有特征库,单位禁止共享wifi,之前屡禁不止。最后上行为管理直接禁止了,偷偷共享wifi出来的用户网页会提示 5分钟,另外目前网络有给其他外单位使用,所以非常难管理 一些列行为规范的问题,其他单位用起来都是嘴巴说好,但是我们管不着,也不好意思经常搜查他们 电脑和网络情况。

楼层交换机 华为 S5735?好像是这个系列。三层 web应用交换机(我不太会telenet 界面 命令)。这个交换机最大特点,可以防止arp欺诈、环路、风暴,实测 接 小交换机 环路,会自动识别 异常端口网络状态,并且自动堵塞端口不给影响其他网络(我用了这种堵塞策略,测试环路),环路解除,会自动通网(之前单位 网络瘫痪一次,怀疑有人环路,机房找了半天。没找到 出来,接近30分钟网络瘫痪才恢复网络,老板让我选一个 高级交换机看看有没办法避免,2022年的时候也硬着头皮去看资料,当时候将近七千元买了一台 回来给我玩1个月,测试通过后,批量把楼四台层交换机 全部换了,配置堆叠)







这个交换机最大的好处就是找端口,真的爽。直观啊,策略也算直观的。

终端,奇安信 杀毒。就是预防别单位发压缩**来中招。

至于价钱,防火墙和审计 网御 还有杀毒确实好像是要续费一些扩展功能。每年都要续签。单位好像搞了一次四年的授权,算了事
交换机 买断了......
------------
这三套组合 比较完美
尤其 防火墙 通过arp 可以翻查所有经过它的mac 设备,另外防火墙限速 每个ip地址速度。保证宽带 流畅。
审计系统,可以通过日志,查看ip地址 应用使用情况,浏览过什么网页等等日志(其实这个我也懒得看,只是有要求备用),主要是屏蔽wifi共享的动作。
交换机,可以通过mac 定位具体端口,然后 找跳线非常容易对于的网络面板模块。端口可以直接web 界面看到 接入的 设备 mac地址 情况。简直 只要通网的一个都没跑,随时可以 封禁

为什么选择网御?其实理论上深信服 是比较知名。老板早期10年前已经使用网御产品,而且这里 服务比较好 ,有问必答,随时上门协助排除故障或远程协助,服务各方面都比较给力,赢取了老板信任(前提产品也没怎么掉链子)。这里也不求顶级性能安全。

还有出现过上级单位 有可能随时给一个异常ip地址设备让我们自己排查和汇报,你可以想想拿着这种ip地址,在没有换交换机之前(老款h3c 100m的交换机),去找设备那个痛苦。现在通过其中一个信息(ip地址或者mac),都可以快速找到楼层房间位置,锁定排查设备(如果不想跑去找人,直接禁用它的mac地址,禁用设备跑去哪里接网络都没用,必须找管理员报网络故障,还真的试过测试搞一个人,上不了网找我)。

VincentHu 发表于 2024-7-5 18:05

wujiwu 发表于 2024-7-5 17:57
给你参考。
防火墙,网御 的。就是 搞黑名单那种。型号忘记
面对电脑中毒arp欺诈、wifi共享、局域网环路、 ...

感谢感谢   我都搜搜看了解了解

wujiwu 发表于 2024-7-5 18:26

本帖最后由 wujiwu 于 2024-7-5 21:53 编辑

1、解释是dns,例如你屏蔽baidu的域名,但是解释ip地址吧(一般好的知名域名,起码几个ip地址做服务,而且随时换ip地址)。想要准确屏蔽,基本就要准确定位ip地址和更新数据库。例如你屏蔽了百度,输入域名确实不能访问,但是别人用ip 输入直接登录首页,你觉得这个防火墙。屏蔽 到底有效还是无效 ?
2、这东西看价钱,两个买便宜,还是一个集成功能便宜,这个不清楚。另外性能也千差万别。找供应商了解区别,让他们介绍,达到什么功能
3、软件这些一方面拉低计算机性能,第二方面也存在破解,卸载,绕过等方面。去客户端部署,其实不是最佳方案。我还是偏向于 网络那边搞策略,一刀切。客户端只需要部署简单的杀毒软件了事,我们单位网络管控比较自用,手动设置一下ip地址可以上网。没有绑定端口+固定ip +设备mac。不然我基本不用休息,一直在上班
4、我也不太懂

chazikai24 发表于 2024-7-5 21:32

VincentHu 发表于 2024-7-5 17:41
我们的其他客户公司基本都是飞塔,少量的深信服,这家其实也是深信服,但是问题是这个机器,中间有点时间 ...

飞塔是好,不是国产的啊,国外的防火墙,思科跟飞塔肯定是好的。
另外我看了下你的需求,我感觉行为管理,再你说的网络中,重点担任的任务难道不是流控吗?基于应用的流控。要不然百八十号人流畅上网都是个问题。顺便实现你说的黑白名单问题。深信服值钱的就是他家的特征库,不升级么,也不是不能用,就是部分应用可能识别不准而已。但是你说的黑白名单还是没问题的。
防火墙可以省了,买个满足性能要求的网关就行了。
至于杀毒客户端,EDR方便的地方就是统一管理,规则自动下发,自动升级。对于用户来说安装完就没事了,配置由服务端统一管理。如果没有这种统一管控的需求,其实安装个360安全卫士极速版,抛开别的不谈,它的防毒能力还是很强的。
页: [1] 2
查看完整版本: 感谢大家已完结 企业网络改造和管理软件安装