Tags - 防火牆

insoler網站目前使用的防火牆是「FortiGate 110C」,韌體版本號碼是v4.0,build0632 (MR3 Patch 8)。由於這台防火牆「最大防火牆處理能力 : 500 Mbps」至少「最大 IPS 處理能力 : 200 Mbps」對於我們目前使用的「100M/100M」光纖網路來說,應該還相當的游刃有餘。FORTIGATE - 110C 純防火牆最大防火牆處理能力 : 500 Mbps最大IPSec VPN 處理能力 : 100 Mbps最大防毒處理能力 : 65 Mbps最大 IPS
蘇言霖 2015/12/22 0 3038

幾乎所有高級防火牆都支援老舊的「COM埠」讓網管人員可以用筆記型電腦直接連接防火牆來進行各種設定。高級防火牆所以不像廉價「IP分享器」那樣,只要透過「網路線」就能透過「192.168.1.1」之類的IP位址,以及「Admin」管理者帳號、「admin」或「1234」之類的預設密碼來管理高級防火牆,唯一的理由就是「提高安全性」! 能力強大的駭客,或許有本事可以透過網路,找到高級防火牆的安全性漏洞,入侵防火牆,甚至關閉防火牆設定,但遠端的駭客絕對不可能去拿一條老舊的「COM埠」線來連接防火牆,來改變防火牆設定!
蘇言霖 2014/05/12 0 1495

在「Remote Management」遠端管理界面,可以設定你想要使用的ZyWALL 70 UTM的管理方式。我只用HTTP或HTTPS,其他的界面全部都不使用! 當然,萬一設定錯誤,導致HTTP或HTTPS無法開啟防火牆的管理網頁畫面,其實還可以透過傳統的COM Port來連接防火牆,用最傳統老舊的界面來設定防火牆。 很多MIS、IT網管人員很愛用SSH,但我是絕對不使用SSH! 連SSH都不是十分安全,更不用說老舊的TELNET等其他管理界面! 竟然也可以透過「FTP伺服器」來管理防火牆? 我也
蘇言霖 2014/02/09 0 941

在「Bandwidth Management」可以針對不同的網路埠限制不同的網路流量。比如管制FTP的封包只能使用1Mbps的流量! 總頻寬雖然有100Mbps的頻寬,但其實經過防火牆封包過濾以後,只能達到30Mbps左右,因此頻寬管制超過30Mbps就等於沒有任何效果! 在「Monitor」可以監視不同網路埠,目前使用的流量。但因為我們不使用的關係,所以也沒有任何設定值(雖然以前有使用過)。 這是因為我們雖然使用100M/100M光纖網路,但實際上防火牆頻寬只剩30Mbps已經太慢了,再加以管制就更沒
蘇言霖 2014/02/09 0 1087

ZyWALL 70 UTM的「VPN」功能可說是相當的簡單好用!只需要簡單的設定,就可以讓兩個或是多過遠端(例如美國、台灣、日本... 等)的LAN內部網路互通! 以前ZyWALL 70曾經與中國上海工廠的LAN互相連結,現在的「insoler」已經不再需要VPN了! 雖然兩台或是多台ZyWALL防火牆可以輕易的互通,但是能不能與其他同樣支援IPSec的防火牆互通?我沒有測試過,我也不是很清楚。 由於「VPN」是利用「internet網際網路」把兩個遠端的網路連接起來,因此就算經過「EDS」(Data
蘇言霖 2014/02/07 0 1616

現代的防火牆就算有「6向對6向網路封包」過濾功能也不足以防堵駭客!也因此現代的防火牆,所有防火牆都有內建IDP等,針對駭客進行攻防戰的機能! 只不過IDP必須另外支付高額年費才能使用,因此我並沒有使用。 直接從防火牆上「防毒」也是一項重要的功能,但因為我沒有訂購IDP,也就沒有「Anti-Virus」的防毒功能。 不用說,現代的防火牆,直接從防火牆上「過濾垃圾郵件」也是一項重要的功能,但因為我沒有訂購IDP,也就沒有「Anti-SPAM」的過濾垃圾信功能。 因為沒有「Anti-SPAM」的過濾垃圾信功
蘇言霖 2014/02/07 0 966

當然,防火牆最重要的功能當然就是「Firewall」的封包過濾功能! ZyWALL不止支援「3向對3向網路封包」甚至還支援「6向對6向網路封包」過濾功能!總共多達「6 x 6 = 36」個封包流向的過濾功能! 除了從「Default Rule」的總表以外,也可以從「Rule Summary」來選擇想要設定的「6向對6向網路封包」流向。 點選「6向對6向網路封包」過濾條件的方式就像這樣: 比方說我點選「LAN to WAN」的封包流向,也就是「內部網路」到「網際網路」的上網流向。 按一下所有欄位最前面
蘇言霖 2014/02/07 0 1004

對於「本產品已停售,相關軟體更新持續支援至2011年」已經完全停止支援3年多的老舊防火牆,也不需要向ZyXEL註冊了! 這是「LAN區域網路」的設定值。通常「LAN」的初始值都是192.168.1.1,但我知道絕對不能用出廠預設值,最好改用其他的IP位址來提高一點網路安全性。 針對想要配置固定IP位址的電腦主機,就可以使用「Static DHCP」靜態DHCP功能。 關於「IP Alias」我並沒有使用。 這是「WAN」網際網路的設定畫面。ZyWALL 70 UTM除了支援「雙WAN」也支援「負載平
蘇言霖 2014/02/07 0 1122

ZyWALL 70 UTM是一台支援「雙WAN port」的防火牆。雖然號稱「高效能八合一資安整合」也有「可阻擋間諜程式,釣魚程式,病毒及垃圾郵件」的先進功能,甚至還可以針對「IM (即時訊息),P2P (點對點) 應用」特別管制,但是「本產品已停售,相關軟體更新持續支援至2011年」可說是完全停止支援3年多的老舊防火牆。 ZyWALL 70 UTM在過去是「BNW會議室」主要的第一層防火牆,在我把網站轉換到現在的「insoler社群網站」並將網路從ADSL升級到「100M/100M光纖網路」以後,ZyWA
蘇言霖 2014/02/07 0 2081

很久以前我公佈了我們網站上的「雙層防火牆」網路架構,請參考這篇:安全加倍的「雙層防火牆」- insoler與BNW網站系統架構圖     「雙層防火牆」是我在與駭客奮戰多年以後的心得。但如果你在Goolge搜尋「雙層防火牆」的話,可能會找到許多錯誤的負面觀念,那些認為內部裝個100道鎖也沒用的網友,我猜想大概是根本不了解駭客、不了解網路,甚至也不了解「防火牆」是什麼! 如果你隨意聽信那些網路上的看似頭頭是道的錯誤資訊、錯誤謠言,當然是很糟糕的事。網路發達以後,正確的知識並沒有因此更為流通,反倒是一
蘇言霖 2012/10/20 1 2385
1