关于家用软防火墙的选择

蓝色星芒

目前使用的是all in one，基于windows+hyperv。

现在跑了虚拟机，ikuai，三个debian系统。其中1个是主要业务；1个是各种sql等支撑，基于docker；还有1个debian是其它用途；另外还有几个虚拟机不一一阐述了。

现在ikuai的使用跟不上需求，很多查询做不到。现在想换个软路由，或者软防火墙。

要求：
1、日志、监控要全面一点
2、安全性强些，最好带dpi，ids，不能兼有的话那就要ids吧
3、可以支持单线多拨和负载均衡调整
4、带qos
5、支持1G以上吞吐量
6、dns，去广告这些可以没有，有单独的adg来搞了

有想法是ikuai专注拨号，后面加个ipfire，ipfire后面是内网；ikuai和ipfire中间在另起一个IP段，这样ipfire就是三层的firewall，基本所有功能都能用，但是无故的增加了1个网络节点，而ipfire本身不支持多wan口负载均衡，只支持多wan的热备……

各位大佬有啥好的办法？硬件设备暂不考虑，机柜没有空间了，所以只考虑软的

coolbo

那就是pfsense/opnsense了

tankren

家用要IDS干嘛，，，
要不上NGFW？

dcl2009

panabit吧，免费版的，你这些都能满足

蓝色星芒

tankren 发表于 2023-9-25 13:39
家用要IDS干嘛，，，
要不上NGFW？

就是因为没空间了，不然就上ngfw了……

Oscarice

有虚拟机版的NGFW，比如usg6000v和vfw1000，但是个人用户怎么买授权就是个大问题

nn1122

opnsense，免费开源使用放心，可以加IDS这些插件，只是一般人玩不转

qq775812376

网上淘个飞塔30e 不过授权有点麻烦

thereone

山石网科的NGFW可以就怕你玩不转，不过手册也都有。下载地址去官网注册个账号登录知识库就可以下载到了。不过授权只有30天。H3C也有vFW这个更怕玩不转去官网用通用账号就可以下载。

coolbo

qq775812376 发表于 2023-9-25 14:46
网上淘个飞塔30e 不过授权有点麻烦

还是60e起步，太低端的不行

hkxyz

sonicwall、飞塔这些硬墙，价格便宜量又足

蓝色星芒

目前给公司用的就是深信服的NGFW，AC，SDWAN，所以不存在玩不转，不过授权那是真贵。不过软件的真的玩的不多，研究研究吧。

蓝色星芒

我先虚拟化试试opensense，不知道和pfsense是不是类似，我在公司装了pfsense，主要用来做内网的打通的，和sdwan组建双环备份。
pfsense用起来还是有点不直观，不知道opensense怎么样。

硬件的好是好，效率高，缺点就是授权贵，个人用奢侈了，或者我可以等公司的淘汰下来

红色狂想

我也有防火墙的需求，就是开放外网访问权限后能防护阻挡恶意入侵扫描的，看好硬件防火墙飞塔和华为USG6331E，但防火墙这种产品不是一次投入终身可用的，高昂的授权价格让人望而却步

蓝色星芒

红色狂想 发表于 2023-9-28 11:32
我也有防火墙的需求，就是开放外网访问权限后能防护阻挡恶意入侵扫描的，看好硬件防火墙飞塔和华为USG6331E ...

目前我已经安装了opnsense在虚拟机，正在做测试，目前搞定了多拨，可以获取到IP了。但是在测试叠加等等问题，测试没问题就会从爱快，转到opnsense去。

硬件防火墙是持续投入，授权不便宜

rx_78gp02a

硬件防火墙要达到QOS+1G很难，本身防火墙过滤是软的，流量可以硬件加速，但是上QOS后流量也是软的，根本撑不起。

summerq

rx_78gp02a 发表于 2023-9-28 14:16
硬件防火墙要达到QOS+1G很难，本身防火墙过滤是软的，流量可以硬件加速，但是上QOS后流量也是软的，根本撑 ...

sophos xg，带asic加速，可以跑到30g……

红色狂想

蓝色星芒 发表于 2023-9-28 14:07
目前我已经安装了opnsense在虚拟机，正在做测试，目前搞定了多拨，可以获取到IP了。但是在测试叠加等等问 ...

放弃ikuai是对的，opnsense的强项是防火墙呀还是路由转发呀，跑业务达不到RouterOS的性能吧？

rx_78gp02a

summerq 发表于 2023-9-28 14:29
sophos xg，带asic加速，可以跑到30g……

家用搞个tnsr就顶天了，内置asic的机器一般都很贵。

Krakenius

hkxyz 发表于 2023-9-25 16:12
sonicwall、飞塔这些硬墙，价格便宜量又足

飞塔的软件使用费不便宜，大几千一年

Krakenius

rx_78gp02a 发表于 2023-9-28 14:16
硬件防火墙要达到QOS+1G很难，本身防火墙过滤是软的，流量可以硬件加速，但是上QOS后流量也是软的，根本撑 ...

防火墙有吞吐量的，厂商会标开了应用识别和Treat Prevention之后的吞吐量是多少，一样有超过1G吞吐量的，给多少钱而已

Krakenius

opnsense可以装一个Zenarmor插件，装了之后就有应用识别功能了

7hfi0bu6

冒昧的问一句，一直有个疑惑，你们把家里搞得跟个IDC一样是要干嘛啊？
下班以后是电视剧不好看了还是游戏不X好玩了？家里折腾这些难不成是要窥探家人隐私。。。
我也算是个老运维了，家里就一个ER-X配合uap-HD，加上2个傻瓜千兆交换和一个桌面nas，已经用得很舒服了。
平时上班已经够烦了，下班了就想好好休息娱乐下。只要保证家里网络基础设施的稳定就很happy了。

summerq

7hfi0bu6 发表于 2023-9-28 15:58
冒昧的问一句，一直有个疑惑，你们把家里搞得跟个IDC一样是要干嘛啊？
下班以后是电视剧不好看了还是游戏不 ...

厨师回家不喜欢做饭，运维回家不搞网络，这是正常的。但是反过来想，其他职业者，回家想放松放松，折腾网络，这不是也蛮正常的嘛

7hfi0bu6

summerq 发表于 2023-9-28 16:06
厨师回家不喜欢做饭，运维回家不搞网络，这是正常的。但是反过来想，其他职业者，回家想放松放松，折腾网 ...

也对，忘了生命在于折腾了。
其实他这个需求买个深信服的行为管理，配成网关模式，替掉路由，基本上就满足了。
除了放不进弱电箱，其它没啥毛病，耗电，噪音都不大。

fly9902

家用adsl都是动态ip，且不说大内网，就算你有公网ip，过两天运营商也给你强行断开切换，只要不是太差的路由器自带的防火墙完全够用，家庭搞商业 防火墙，纯粹太闲了

Satan023

飞塔50e跑不到1GB的，大概950左右，看咸鱼卖家说的。你要达到1GB的话得加钱，还挺贵。

colo

蓝色星芒 发表于 2023-9-25 16:42
我先虚拟化试试opensense，不知道和pfsense是不是类似，我在公司装了pfsense，主要用来做内网的打通的，和s ...

淘汰下来的授权不也过期了么

housecall

单位很多防火墙是UTM，过期基本的防火墙功能还是永久使用，但UTM单元就不行

蓝色星芒

colo 发表于 2023-10-12 15:03
淘汰下来的授权不也过期了么

过期的话，大部分只是特征库不能升级，但是其它功能基本还是可以用的，其实要求稍微高点的家用是可以的，特征库里的东西一般轻易不会搞家庭。
我这是因为有一些业务在家里，op是因为稳定性和效率不够，不编译插件进去太原始，编译了效率和稳定性相对低。ikuai免费版是普通家庭的使用够了，就是只要拨号，甚至是多拨的够了。但是对于有业务的细节管控还是差了点，也看不到攻击来源。所以想换个防火墙试试，硬件的话，占空间。所以先试试软件