佛心來的!免費企業級防火牆 Sophos XG Firewall Home Edition

2019-4-10 icece Internet

會發現這款家用免費的企業級防火牆 Sophos XG Firewall Home Edition,主要是因為很久以前就想買一台對岸很多人討論的「工控軟路由」,這種設備一般配備有 2、4、6 個乙太網路孔,使用的通常是低功耗 6 ~ 15W 的CPU,極度省電,只要安裝好路由系統如 OpenWRT 後就可以得到效能遠高於一般無線分享器的高檔路由器,即使是超高檔的無線 AP 效能也不見得能和軟路由一搏,而且功耗還差不多,甚至更低,不過 OpenWRT 對我來說沒什麼吸引力,所以一直都沒有入手軟路由設備,相較之下具有企業級防火牆功能的系統才是我所想要的,於是拜 Google 大神的賞賜,搜尋了關鍵字 "Free UTM" 後,先是搜到了 Sophos UTM Home Edition,後來才發現這 Sophos XG Firewall Home Edition 是它的後繼版本,只要註冊一組 Sophos 帳號就可以免費獲得評估序號,評估期限到 2999/12/31,也就是說完全免費,實在太佛心了!


官方網站:https://www.sophos.com/en-us/products/free-tools/sophos-xg-firewall-home-edition.aspx


Sophos XG Firewall Home Edition 除了具備一般路由器該有的幾乎所有功能外,重點特色當然是它更多的防護功能,例如 IPS入侵防禦、ATP進階威脅防護、網頁防護、電子郵件、應用程式防護、網頁伺服器防護(如果你有在家中架設網站的話),最重要的是,它還內建了 2 種防毒引擎:Avira 和自家 Sophos,前面的防護功能看了會心動得想下載來試用看看,而看到了雙防毒引擎就讓我熱血沸騰了! 哪來這麼好康,竟然免費內建了 2 種防毒引擎給家庭用戶使用! 由於它就是一套作業系統,於是上官網註冊帳號後,下載了 ISO 映像檔,先用虛擬機的方式試用了幾天,接著馬上毫不猶豫的上淘寶淘了一台基本款的 Intel J1900 + 4GB + 64GB + 4 LAN 工控軟路由主機回來把家中原有的無線分享器給換掉,從此過著高枕無憂不怕中毒的日子了(咦?!)。

既然是企業級防火牆,功能當然完整,以下就來看看截圖吧。


▼ 登入管理者畫面,登入網址是https://172.16.16.16:4444 預設帳密是 admin /admin

另外還有一個使用者入口網頁,網址是https://172.16.16.16,帳密則是由管理員新增的帳號。

2019-04-13


▼ 登入首頁,總攬,可以看到幾乎全部的狀態,相比其他軟路由系統,其實有點吃記憶體,開機就吃掉約 2.4GB RAM,應該跟啟用的防護多寡有關。

2019-04-12


▼ 可以看到目前有活動的應用程式或來源IP,使用者名稱的部分,Sophos XG Firewall Home Edition 也提供使用者帳號登入,只要讓使用者在自己的電腦安裝程式並登入後,就可以控管電腦的上網行為,Sophos 將它稱為第八層。

2019-04-12


▼ 內建完整的報告,可以看系統產生的各種類型報告,報告能保存多久跟儲存空間大小有關。

2019-04-12


▼ 防火牆規則,我把手上這台軟路由設備的 4 張網卡設定成 1 WAN + 3 LAN,其中3 個 LAN 建立橋接模式,完成橋接後還要開一條LAN To LAN 規則,否則不同 LAN 口之間無法互通。另外安裝完成後預設是無法上網的,還要先新增一條 LAN To WAN 規則才能連上網路。

2019-04-12


▼防火牆規則分為使用者/網路規則和業務應用程式規則,下圖是使用者/網路規則,跟一般防火牆一樣,要設定來源、目標、允許與否等,重點就是下圖這個,可以掃描HTTP、HTTPS(防毒功能)和設定 IPS 防護策略、流量塑形、網頁政策等,這個部分是兩面刃,設定過濾的內容太多,網路速度會變成龜速,需要多次嘗試找到不會嚴重影響網速的設定。

2019-04-12


▼ 防火牆的業務應用程式規則,選擇需要的範本就跟一般防火牆設定一樣,設定來源、目標等。

2019-04-12


▼ IPS 入侵防禦,已經預設很多範本了,雖然可以直接套用,不過得先試過才能確定會不會嚴重影響網路速度,如果有影響到網路速度可以選擇自定義 IPS 規則,我個人是自訂了一組過濾所有威脅,但只過濾 Windows、Linux Client 的規則,過濾規則可以減少將近一半左右。

2019-04-12


▼ 自定義 IPS 規則可以依類別、嚴重性、平台、目標做篩選,選定後選擇全部選取,再儲存規則,之後即可在防火牆規則中套用自定義 IPS 規則。

2019-04-12


▼ 網頁過濾,也是已經內建很多類別及URL群組,當然也可以自訂要阻擋的URL,不過這個功能啟用後,第一次連線網站會延遲好幾秒顯示網頁,之後網頁載入速度就正常了,「編輯額外設定」裡還可以啟用 SafeSearch,讓含有惡意的搜尋結果消失。

2019-04-12


▼ 讓人看了很爽的防毒引擎設定,可以掃描 HTTP/HTTPS 載入的網頁是否有病毒,HTTPS掃描的部分必須要把防火牆提供的預設憑證匯入到家中所有電腦才能啟用,否則會一直出現憑證錯誤的訊息;掃描模式分為即時和批次兩種,批次模式會掃完毒後才下載到電腦中,即時模式則是讓使用者先下載部分,直到快下載好了再掃描,有病毒再攔截通知使用者。2019-04-12


▼ 可以阻擋應用程式,不過看列表主要是 VPN 類的 APP,也可以自行新增要篩選的 APP。

2019-04-12


▼ 電子郵件,設定一樣很多,也同樣可以掃描郵件是否有毒。

2019-04-12


▼家中網路有架網站的可以開啟 WAF 防護,設定項目一樣看了很有感 XD

2019-04-12


▼進階型威脅防護,旁邊的 Sandstorm 是雲端沙箱功能,家用版沒有提供,也無法訂閱。

2019-04-12


▼這個是企業用的付費功能,家用版同樣無法免費使用。

2019-04-12


▼ VPN 連線,含有多種 VPN 連線,設定好後就可以連線回家了,不過使用前要先到認證頁面新增帳號才能用帳密登入。2019-04-12


▼網路介面在安裝好後,只有預先插網路線的網路通訊埠會是啟用狀態,其餘的就要自行一一設定是LAN、WAN還是 DMZ 等類型,我將剩餘的 3 個網路孔橋接成一個 LAN,讓所有家中電腦都可以互通,不過完成橋接後還要新增一條 LAN To LAN 的防火牆規則,否則網路不會通。2019-04-12


▼ 2 種防毒引擎可以選一個自己偏好的當主要防毒引擎。2019-04-12


▼ 流量塑形,就是一般說的 QoS,不過我沒這個需求,沒研究也沒啟用。

2019-04-12

▼ 家中如果有 NAS 或其他 Server 對外提供服務,一般路由器要設定 Port Forwarding 才能正常連線,在 Sophos XG Firewall 中則是除了預先定義好的服務外,也可先從「服務」頁面中新增好要開啟的 Port,之後就可以在設定防火牆規則時,一次開啟所有需要開啟的Ports。

2019-04-12


▼ 家用版免費評估到 2999/12/31 !

2019-04-12


▼ 所有的防護都會自動更新,預設是每 2 個小時更新一次,也可以自行將更新設定為更頻繁或較少更新。2019-04-12


▼預設有 2 個版本韌體可供切換,如果等不及新版本韌體,可以在韌體發佈時,登入 Sophos 下載最新版,再到以下畫面上傳,否則就要慢慢等推播更新。

2019-04-12


Sophos XG Firewall Home Edition 唯一的限制就是只能使用 4 核心 CPU 及 6GB 記憶體,超過的資源就無法利用,也就是說如果買了八核心 CPU 和 8GB 記憶體,那麼就有 4 個核心及 2GB 記憶體閒置,不過其實影響不大,CPU 可以買效能較好的 4 核心,記憶體開機約用掉 2.4GB,剩餘約 3.6GB 的記憶體用來應付家中所有裝置的連線應該也算是非常充裕的了,我買的軟路由主機只配備 4GB 記憶體,記憶體使用率維持在60%~70%之間,還算夠用,唯一需要注意的大概就是防火牆規則及防護開太多會影響網路速度,這個就需要多花心思調整了

發表評論:

Powered by emlog     5.44mssitemap