关于家用软防火墙的选择

蓝色星芒

目前使用的是all in one，基于windows+hyperv。

现在跑了虚拟机，ikuai，三个debian系统。其中1个是主要业务；1个是各种sql等支撑，基于docker；还有1个debian是其它用途；另外还有几个虚拟机不一一阐述了。

现在ikuai的使用跟不上需求，很多查询做不到。现在想换个软路由，或者软防火墙。

要求：
1、日志、监控要全面一点
2、安全性强些，最好带dpi，ids，不能兼有的话那就要ids吧
3、可以支持单线多拨和负载均衡调整
4、带qos
5、支持1G以上吞吐量
6、dns，去广告这些可以没有，有单独的adg来搞了

有想法是ikuai专注拨号，后面加个ipfire，ipfire后面是内网；ikuai和ipfire中间在另起一个IP段，这样ipfire就是三层的firewall，基本所有功能都能用，但是无故的增加了1个网络节点，而ipfire本身不支持多wan口负载均衡，只支持多wan的热备……

各位大佬有啥好的办法？硬件设备暂不考虑，机柜没有空间了，所以只考虑软的

RyanLR

在家装ik，这算不算引虎赶狼？

xu089757

要不考虑下飞塔，其他的防火墙不续license没法用啊

LarryWons

pfsense， OPNsense 优先这两个吧

大地飞哥

直接整硬防火墙，华为USG6307E、H3C F100，京东自营就有

tyy474

我自己都没想过要整那么高级的，就怕哪天自己给自己防住了。以前用op，时不时就有人来login各种内网设备，后来换了ubnt的，就再也没有发生过了，端口还是那个端口，域名还是那个域名，反正没人扫我也懒得理了。

xxf79

qq775812376 发表于 2023-9-25 14:46
网上淘个飞塔30e 不过授权有点麻烦

哈哈  我淘的50E 授权虽然过期了 但绝大部分功能也是正常使用 特征库可以离线更新 sd wan ssl **这些更是不用授权 一直可以正常用的 没问题 两三百 还要啥自行车啊 不用装FortiOS虚拟机折腾 我是放桌面来折腾送的第二条宽带 稳定静音还好看 路由器都省了 pppoe能跑970m 足够折腾了

ccsa001

pfsense+panabit（桥接）  pfsense 开启（Suricata)   可以达到你的要求   

蓝色星芒

chainofhonor 发表于 2023-10-13 19:51
家用都是NAT 外面进不来

如果实在担心软件问题

IPV4都有人扫描，何况IPV6。只要你在公网上有提供服务，不管是群晖还是啥，都会有各种扫描和攻击。除非什么服务都不开放，只接受内网主动发起的访问，但是保不齐被攻破啊

summerbee

家用防火墙～～～哎，现在家里的联通v4公网ip基本上半年都没变，用的的爱快，不知道怎么保证网络的安全，仅仅是爱快那里设置了一下。

chainofhonor

家用都是NAT 外面进不来

如果实在担心软件问题
就把windows的防火墙默认出站策略改为阻止  
然后手动放行需要访问网络的软件

目前我就是这样做的

哦,看了楼上的才想起来还有ipv6  
不过应该也不用太担心
IPV6一个/64的子网,基本如果不是专门针对的话,没有人会来扫的吧  

而且也是一段时间就换前缀  我感觉除非是内网有软件出问题了,主动向控制端暴露前缀,否则不会有人闲的蛋疼来扫ipv6的

V2ELAO

以前纯ipv4+nat大内网的适合从来没想过防火墙这个问题，看到楼主帖子才想起来全家设备都接入ipv6了，突然感觉家里面的设备都好危险，赶快先把rdp关了

蓝色星芒

上帝也生病 发表于 2023-10-13 15:40
友情提示AIO最好能有硬件备份，不然万一出个问题你所有的服务都挂了

这个是肯定的，硬件备份不好搞，搞硬件备份，还不如直接上集群了。而且能接受业务中断1年1-3次的。
不过数据分类型，有实时的也有每7天的

蓝色星芒

gsyylove 发表于 2023-10-13 11:19
如果记录攻击类型的话估计60G也不一定够，NAT全放开了也没达到PCDN的要求，安全策略研究不明白 ...

NAT的话，其实你直接做DMZ，在opnsense里，应该就是1:1nat，把pcdn的放在外网上。

gsyylove

蓝色星芒 发表于 2023-10-13 11:01
我测试的时候，给是20G硬盘，2天不到满了。现在给了60G，再给观察下。nat类型可以改啊，防火墙也可以放行 ...

如果记录攻击类型的话估计60G也不一定够，NAT全放开了也没达到PCDN的要求，安全策略研究不明白

蓝色星芒

gsyylove 发表于 2023-10-13 10:59
我用PVE+OPNsense，资源要求倒是不高，开日志的硬盘要大一些，10G空间用不了几天就占满了，对称型防火墙， ...

我测试的时候，给是20G硬盘，2天不到满了。现在给了60G，再给观察下。nat类型可以改啊，防火墙也可以放行。目前还在断断续续的测试，最近忙，时间不够。家里的蜜罐已经不少攻击的了……还能撑一撑

gsyylove

我用PVE+OPNsense，资源要求倒是不高，开日志的硬盘要大一些，10G空间用不了几天就占满了，对称型防火墙，跑pcdn挺难搞，NAT类型没搞明白

蓝色星芒

colo 发表于 2023-10-12 15:03
淘汰下来的授权不也过期了么

过期的话，大部分只是特征库不能升级，但是其它功能基本还是可以用的，其实要求稍微高点的家用是可以的，特征库里的东西一般轻易不会搞家庭。
我这是因为有一些业务在家里，op是因为稳定性和效率不够，不编译插件进去太原始，编译了效率和稳定性相对低。ikuai免费版是普通家庭的使用够了，就是只要拨号，甚至是多拨的够了。但是对于有业务的细节管控还是差了点，也看不到攻击来源。所以想换个防火墙试试，硬件的话，占空间。所以先试试软件

housecall

单位很多防火墙是UTM，过期基本的防火墙功能还是永久使用，但UTM单元就不行

colo

蓝色星芒 发表于 2023-9-25 16:42
我先虚拟化试试opensense，不知道和pfsense是不是类似，我在公司装了pfsense，主要用来做内网的打通的，和s ...

淘汰下来的授权不也过期了么

Satan023

飞塔50e跑不到1GB的，大概950左右，看咸鱼卖家说的。你要达到1GB的话得加钱，还挺贵。

fly9902

家用adsl都是动态ip，且不说大内网，就算你有公网ip，过两天运营商也给你强行断开切换，只要不是太差的路由器自带的防火墙完全够用，家庭搞商业 防火墙，纯粹太闲了

7hfi0bu6

summerq 发表于 2023-9-28 16:06
厨师回家不喜欢做饭，运维回家不搞网络，这是正常的。但是反过来想，其他职业者，回家想放松放松，折腾网 ...

也对，忘了生命在于折腾了。
其实他这个需求买个深信服的行为管理，配成网关模式，替掉路由，基本上就满足了。
除了放不进弱电箱，其它没啥毛病，耗电，噪音都不大。

summerq

7hfi0bu6 发表于 2023-9-28 15:58
冒昧的问一句，一直有个疑惑，你们把家里搞得跟个IDC一样是要干嘛啊？
下班以后是电视剧不好看了还是游戏不 ...

厨师回家不喜欢做饭，运维回家不搞网络，这是正常的。但是反过来想，其他职业者，回家想放松放松，折腾网络，这不是也蛮正常的嘛

7hfi0bu6

冒昧的问一句，一直有个疑惑，你们把家里搞得跟个IDC一样是要干嘛啊？
下班以后是电视剧不好看了还是游戏不X好玩了？家里折腾这些难不成是要窥探家人隐私。。。
我也算是个老运维了，家里就一个ER-X配合uap-HD，加上2个傻瓜千兆交换和一个桌面nas，已经用得很舒服了。
平时上班已经够烦了，下班了就想好好休息娱乐下。只要保证家里网络基础设施的稳定就很happy了。

Krakenius

opnsense可以装一个Zenarmor插件，装了之后就有应用识别功能了

Krakenius

rx_78gp02a 发表于 2023-9-28 14:16
硬件防火墙要达到QOS+1G很难，本身防火墙过滤是软的，流量可以硬件加速，但是上QOS后流量也是软的，根本撑 ...

防火墙有吞吐量的，厂商会标开了应用识别和Treat Prevention之后的吞吐量是多少，一样有超过1G吞吐量的，给多少钱而已

Krakenius

hkxyz 发表于 2023-9-25 16:12
sonicwall、飞塔这些硬墙，价格便宜量又足

飞塔的软件使用费不便宜，大几千一年

rx_78gp02a

summerq 发表于 2023-9-28 14:29
sophos xg，带asic加速，可以跑到30g……

家用搞个tnsr就顶天了，内置asic的机器一般都很贵。