中小伺服器用的 有防火牆的路由器推薦


AKSN74 wrote:
這樣感覺你被攻擊的...(恕刪)


我查了一下RouterOS的設定...
這我可能會搞三個月才會用啊....XD

FortiGate-80C 這顆Router推薦嗎?


Dr.Ferrari wrote:
沒猜錯的話可能是開天...(恕刪)


不是天堂喔...是麥塊Minecraft
也不是DDoS 純粹DoS而已
我之前跟你差不多,是用zyxel usg 50h常常被打到網路乎快乎慢的
我沒對很多用戶,存個人架設dns mail這兩個服務而以

後來也在小惡磨上接觸了routeros然後買了ccr1036來用
跟上面高手幫忙大約清楚基本設定,下面這是三天內對我dns server
超過三十個連線擋下的黑名單,擋三天不給連,要不當掉真的還是
要錢疊出來才有辦法,如果你要買fortinet就100d吧!
跟80d差沒多少錢的


建議直接花錢去亞馬遜租伺服器更好

硬體方面不用管理, 很便宜, 方便的說
私服不是買台防火牆就能解決DDOS,
過來人告訴你,專業的勒索連ISP的對外頻寬都能塞爆。
要100%抗DDOS,每個月沒花個幾三十萬是不可能的。
我見過最大DDOS量是10G/每秒,直接ISP整台Router頻寬都塞滿了垃圾封包。

chansaikit wrote:
建議直接花錢去亞馬遜...(恕刪)
歡迎有資訊規劃難題&伺服器維護問題與我討論。
為什麼要引我的言

網路安全是最麻煩的一部份, 最好還是外包

所以我才推薦 AMAZON AWS 雲服務, 如果那攻擊能把AWS幹掉, 那你買什麼都沒有用了

KenLin1932 wrote:
私服不是買台防火牆就能解決DDOS,
過來人告訴你,專業的勒索連ISP的對外頻寬都能塞爆。
要100%抗DDOS,每個月沒花個幾三十萬是不可能的。
我見過最大DDOS量是10G/每秒,直接ISP整台Router頻寬都塞滿了垃圾封包。
ru8zj312 wrote:
我查了一下RouterOS...(恕刪)

FortiOS具有各種DDoS防護的方法..
但是80C使用的是Celeron@600MHz+CP6(low)架構
DoS attack探測主要分為:
1. anonamly attack
2. signature-based attack

#1和#2的traffic loading都會經過CPU, 但是#2需要透過IPS進行相關的內容探測, 這時會透過CP6加速器來加速.
#1的DoS sensor階段會先於#2的IPS sensor階段. 最主要的還是#1
遭遇大量的DoS攻擊的話, FGT80C也不好應付(Celeron@600MHz的CPU不能要求太多)

要改善對DoS/DDoS attack的負載能力:
1. 使用多CPU的防護機種, 例如某些機種配置了Xeon E3-1225v3@3.2GHz(500D)的x86 CPU. 直接硬幹(#1).

2. 部分加速機種, 能加快DoS比對速度(#2), 例如配置CP8(FPGA)加速器, 甚至使用多核CP8加速結構的機種, 大幅改善.

3. 應用NPU機種, 啟用NP2/4/6專屬的針對#1的攻擊防護, 完全不會經過CPU, 由高速的ASIC直接幹掉, 最高效率/效能, 被引入到NPU的#1 traffic難以對NPU(啟用DoS防護)機種造成影響, 因為packet很快就會被drop掉,
例如NP6加速器提供了IPv4/v6的DoS/DDoS防護. 一顆內部頻寬40Gbps.

4. 使用特製化的ASIC/FPGA加速器(SP), 可將所有traffic被offload到該加速器, 該ASIC會進行有關的安全偵測, 包括DoS/DDoS防護, CPU同樣大幅免於受到危害.

效能: #3> #2(*多CP架構)>> #4> #2> #1
成本: #4> #3> #2> #1
ru8zj312 wrote:
我查了一下RouterOS...(恕刪)

三個月是不會啦
想當初入手的時候花半天的時間就搞定了

基本上如果要防範這些的話 不管用Fortigate或是RouterOS 都是學習
使用這些設備來學習網路的一些概念其實是滿有幫助的

另外DoS攻擊的部分 大多應該是攻擊你的網頁伺服器 而非麥塊(MineCraft)
因此 除了防火牆的設定是一個重點外 你的伺服器本身的設定也是一個重點
通常會被人綁架或是被攻擊等等 多少也跟你的伺服器設定參數脫離不了關係
Vigor2925可以擋得了幾百台,
幾千台僵屍電腦同時發動DDoS嗎?

這問題很好耶 ^^

當搞不清楚樓主問題時
請樓者買一台千萬的設備看能不能處理

如果錢可以處理
那就簡單了

但是問題是
樓主想花多少錢啊 ^^

千萬防火牆
後端Server帳密admin/admin
你說他能不能防駭客

如果只是dos 請先觀察他是打你什麼攻擊?

正常來說dos應該都是打tcp攻擊比較多

建議可以先隨便找一台不要的電腦(等級越高處理能力越強),安裝pfsense 他是免費的 對岸有中文化套件。

再去設定每個外網ip的連線數控制 封包數量控制。

理論上應該可以處理你的問題

對抗ddos or dos 只要頻寬沒有被吃滿基本上都有救~

但是如果頻寬被吃滿了,你再好的設備跟設置都沒有效果。
延續這個討論,除了被非常專業的DDOS 攻擊,目前我在edgerouter lite 上看到的log 都是 port scan 80/443 有些比較‘可疑’的是 ICMP (type 3, 11, 的我也不懂,但是有改source IP). > 50% 是來自對面。但是很奇怪的是美國的也一堆,而且都是google 的fiber 用戶。。

我的IP沒有提供對外服務所以相對問題簡單。是在想,有沒有人嘗試做所謂 DDOS 的反制,就是看到某個IP 常常‘來犯’,就給他ping flood 回去。

前幾天簡單做了些試驗,手動的hping3 --flood 連續一個小時,只佔了我8M 的頻寬也沒差。對付了幾個對岸的一個小時後就沒再看到了。。

基本上做個script 從firewall logs 裡抓出來再flood 回去應該不難,有人這麼做?

限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
提醒:內容可能因過於寫實、驚悚而令人感到不舒服,是否繼續觀看?

根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結