結論:防火牆設備對於一般家庭來說是非必要的網路設備,如果有NAS、網路印表機或其他對外連線的設備,加上對IT有些管理經驗,可以試著打造一個相對安全的環境。
自從有了網路功能的印表機與NAS,有時候必須透過網際網路進行設備存取,對於網路架構的要求似乎要變多了一些。儘管PC和Wi-Fi路由器都有防火牆功能,或許是先前NAS的勒索病毒事件讓我有些想法,開始覺得普通家用Wi-Fi路由器無法切網段真的很不好用。除了希望把電腦和其他設備的網段分開,還要針對連線埠做管制,這部分就需要靠防火牆的幫忙了。
雖然自己也是做IT的職務,但主要都是端末與Server管理相關;以前曾想過要朝網路發展,CCNA沒有很認真準備也就作罷。直到第二份工作遇到一位資深的同事,聽完了我的一些需求,也就推了一組FortiGate設備,也提供沒在用的設備借我玩玩。雖然也想過玩一玩就好就還同事,當時也沒不確定什麼時候會被外派到海外的單位,自已也想要多學一些東西,經過一番動手與內心的掙扎,也就賀成交了。
這次購入的設備是FortiGate 60E,屬於家用/中小企業等級的產品,有7個LAN、2個WAN、1個DMZ,但這10埠都能自訂義功能,另外也可透過USB可以接駁4G網卡,配置上有很多彈性。以前工作時只有唯讀權限,現在必須從零開始,真的非常有挑戰性,實際設定前,必須先做一件事:畫架構圖。
▲FG60E提供2WAN、7LAN、1DMZ、1USB埠,網路埠可彈性調整。
麻煩的是:原本的Asus Wi-Fi AP上面已經有一堆設定,像是DDNS、VPN、Virtual Server,最棘手的是AP還要當MOD訊號中繼,實際查了一下,MOD似乎也不太適合放在防火牆內,也意味著Wi-Fi AP也必須做調整來滿足需求。(把MOD退了好像就單純許多)
▲設備異動前必須釐清架構。
同場加映:FortiAP 21D
同事也提供了一臺FAP 21D讓我體驗從外網接入防火牆,變成內網的實驗。需要它的原因,一個是旅店網路安全問題,另一個就是旅外又需要與家裡設備連線的需求,透過這個小盒子就能解決大多數的問題。同樣是Fortinet的產品,可以直接在防火牆集中管理AP設備。FAP 21D除了有一個LAN,另外它有Wi-Fi,雖然只有802.11n的訊號,但在小空間下也算夠用了,如果在電信訊號不好的地方也能用Vo-WiFi (像是亞太) ,算滿方便的。
▲FAP 21D提供一個LAN,並使用mini usb供電。
持續學習
在建置過程中會遇到各種轉移問題,光是要透過不同介面的流量進出測試就要花上很多時間,更別說看起來合理的規劃,仍會有預期之外的錯誤。過渡期間好幾度因為設定衝突,發生網路失效的狀況,還好當初都有幫家裡辦吃到飽,也減少許多網路焦慮的問題。在防火牆學習的過程中,也是受到很多指教與啟發,希望能順利地成為有用的經(加)歷(薪)。
Buikit
2022-04-10