iptables vs. Hardware-Firewall

Question 1

Abgesehen von (möglichen) Leistungsproblemen sollten Sie Folgendes bedenken: Wenn Ihre Firewall sich nicht auf demselben Server befindet wie der, den sie schützt, kann es passieren, dass jemandtutSie erhalten zwar Zugriff auf den Webserver, können aber trotzdem nicht an der Firewall herumbasteln, d. h. sie können Ihre ausgehenden Regeln usw. nicht ändern.

Eine separate Firewall könnte auch eingerichtet werden, um zu verhindern, dassbeliebigMöglichkeit, über das Netzwerk darauf zuzugreifen, was wiederum den Schutz vor Manipulationen erhöht.

Bedenken Sie, dass dies auch für eine Software-Firewall gilt, bei der es sich um eine separate Box handelt. Es muss sich nicht um eine Hardware-Firewall handeln.

Answer

Abgesehen von (möglichen) Leistungsproblemen sollten Sie Folgendes bedenken: Wenn Ihre Firewall sich nicht auf demselben Server befindet wie der, den sie schützt, kann es passieren, dass jemandtutSie erhalten zwar Zugriff auf den Webserver, können aber trotzdem nicht an der Firewall herumbasteln, d. h. sie können Ihre ausgehenden Regeln usw. nicht ändern.

Eine separate Firewall könnte auch eingerichtet werden, um zu verhindern, dassbeliebigMöglichkeit, über das Netzwerk darauf zuzugreifen, was wiederum den Schutz vor Manipulationen erhöht.

Bedenken Sie, dass dies auch für eine Software-Firewall gilt, bei der es sich um eine separate Box handelt. Es muss sich nicht um eine Hardware-Firewall handeln.

Question 2

Ich würde eine Hardware-Firewall verwenden, wenn Sie versuchen, einen Abschnitt des gesamten Netzwerks zu schützen, und eine Software-Firewall, wenn Sie versuchen, eine bestimmte Anwendung zu schützen. Die Hardware schützt Ihren Bereich vor Eindringlingen außerhalb Ihrer Gesamtumgebung, und die Software schützt eine bestimmte Funktion sogar vor anderen Teilen Ihrer Umgebung.

Allerdings schützen Sie in diesem Fall nur eine einzelne Box, daher würde ich einfach die Software verwenden. Die Leistungseinbußen sollten nicht allzu groß sein, bis Sie ohnehin mehr als einen Webserver in Betracht ziehen. In diesem Fall sollten Sie sich die Hardware-Lösung ansehen.

Und ja, wie bereits erwähnt, sind Hardware-Firewalls insgesamt zuverlässiger. Sie sind allerdings auch schwieriger einzurichten und zu verwalten, wenn man sie häufig ändern muss. Die Argumente bezüglich der erhöhten Sicherheit, die sich ergibt, wenn verdächtiger Datenverkehr auf ein vom Webserver getrenntes Gerät trifft, sind gut begründet, aber meiner Ansicht nach ist die allgemeine Erhöhung der Sicherheit nicht durch die zusätzlichen Kosten auf der Ebene eines einzelnen Servers gerechtfertigt (mit einigen bemerkenswerten Ausnahmen). Eine ausgereifte Software-Firewall, die einfach einzurichten ist und auf einem regelmäßig gewarteten Server läuft, auf dem außer den für die Webfunktionalität erforderlichen keine anderen Dienste ausgeführt werden, sollte heutzutage stabil und sicher sein. Oder zumindest wird sie es sein, bis Sie Pufferüberlauf-Exploits über den HTTP-Datenverkehr erhalten, die die Firewall ohnehin nicht abfängt.

Answer

Ich würde eine Hardware-Firewall verwenden, wenn Sie versuchen, einen Abschnitt des gesamten Netzwerks zu schützen, und eine Software-Firewall, wenn Sie versuchen, eine bestimmte Anwendung zu schützen. Die Hardware schützt Ihren Bereich vor Eindringlingen außerhalb Ihrer Gesamtumgebung, und die Software schützt eine bestimmte Funktion sogar vor anderen Teilen Ihrer Umgebung.

Allerdings schützen Sie in diesem Fall nur eine einzelne Box, daher würde ich einfach die Software verwenden. Die Leistungseinbußen sollten nicht allzu groß sein, bis Sie ohnehin mehr als einen Webserver in Betracht ziehen. In diesem Fall sollten Sie sich die Hardware-Lösung ansehen.

Und ja, wie bereits erwähnt, sind Hardware-Firewalls insgesamt zuverlässiger. Sie sind allerdings auch schwieriger einzurichten und zu verwalten, wenn man sie häufig ändern muss. Die Argumente bezüglich der erhöhten Sicherheit, die sich ergibt, wenn verdächtiger Datenverkehr auf ein vom Webserver getrenntes Gerät trifft, sind gut begründet, aber meiner Ansicht nach ist die allgemeine Erhöhung der Sicherheit nicht durch die zusätzlichen Kosten auf der Ebene eines einzelnen Servers gerechtfertigt (mit einigen bemerkenswerten Ausnahmen). Eine ausgereifte Software-Firewall, die einfach einzurichten ist und auf einem regelmäßig gewarteten Server läuft, auf dem außer den für die Webfunktionalität erforderlichen keine anderen Dienste ausgeführt werden, sollte heutzutage stabil und sicher sein. Oder zumindest wird sie es sein, bis Sie Pufferüberlauf-Exploits über den HTTP-Datenverkehr erhalten, die die Firewall ohnehin nicht abfängt.

Question 3

Sofern kein Relay klickt, handelt es sich immer um eine Software-Firewall. Man kann nur hoffen, dass die Software so undurchsichtig ist, dass niemand weiß, wie man sie hackt.

Ich habe und hatte viele IPTables-basierte Linux-Firewalls, Cisco PIXs und handelsübliche Consumer-Boxen. Von allen haben die Linux-Firewalls die wenigsten Probleme mit einem Neustart. Die meisten haben eine Betriebszeit von über 2 Jahren. Bei mir sind die Batterien in der USV meist leer, bevor das System einen Neustart benötigt.

05:35:34, 401 Tage aktiv, 4:08, 1 Benutzer, durchschnittliche Auslastung: 0,02, 0,05, 0,02. Ich habe die USV vor 401 Tagen ausgetauscht.

Von den 30 Cisco PIX-Firewalls fielen 3 nach 2 Jahren aus und 5 mussten etwa alle 2 Monate neu gestartet werden.

Der große Vorteil der „Hardware“-Firewalls ist oft die kompakte Größe und hoffentlich das Fehlen beweglicher Teile.

Answer

Sofern kein Relay klickt, handelt es sich immer um eine Software-Firewall. Man kann nur hoffen, dass die Software so undurchsichtig ist, dass niemand weiß, wie man sie hackt.

Ich habe und hatte viele IPTables-basierte Linux-Firewalls, Cisco PIXs und handelsübliche Consumer-Boxen. Von allen haben die Linux-Firewalls die wenigsten Probleme mit einem Neustart. Die meisten haben eine Betriebszeit von über 2 Jahren. Bei mir sind die Batterien in der USV meist leer, bevor das System einen Neustart benötigt.

05:35:34, 401 Tage aktiv, 4:08, 1 Benutzer, durchschnittliche Auslastung: 0,02, 0,05, 0,02. Ich habe die USV vor 401 Tagen ausgetauscht.

Von den 30 Cisco PIX-Firewalls fielen 3 nach 2 Jahren aus und 5 mussten etwa alle 2 Monate neu gestartet werden.

Der große Vorteil der „Hardware“-Firewalls ist oft die kompakte Größe und hoffentlich das Fehlen beweglicher Teile.

Question 4

Ich habe eine Forschungsarbeit von der Universität Polen gefunden, die eineAnalyse zwischen Hardware- und Software-Firewalls.

Ich werde die Schlussfolgerung dieses Dokuments hinzufügen und die wichtigsten Teile fett hervorheben.

Es wurde festgestellt, dass der Durchsatz von Firewalls stark von der Größe der über das Netzwerk übertragenen Pakete abhängt. Der höchste Durchsatz, der sehr nahe an der Kapazität einer direkten Verbindung liegt, wurde bei Paketen mit einer Länge von 1 kB oder mehr festgestellt, bei kleineren Paketlängen war der Durchsatz erheblich geringer. Wir können daraus schließen, dass die optimale Paketgröße bei Verwendung von Netzwerk-Firewalls 1 kB beträgt. Eine sehr interessante Schlussfolgerung ist die Tatsache, dass dieDie Leistung der softwarebasierten Firewall war gleich der Leistung der Hardware-Firewalls.

Hardware- und virtuelle Firewalls erwiesen sich als resistent gegen Denial-of-Service-Angriffe. Wie aus der Dokumentation hervorgeht, verfügen sie über integrierte Mechanismen zum Schutz vor DoS-Angriffen. Wir sind davon überzeugt, dass diese Mechanismen wirksam sind.Tatsächlich entspricht das Sicherheitsniveau der Software-Firewall dem Sicherheitsniveau des Host-Betriebssystems.

Answer

Ich habe eine Forschungsarbeit von der Universität Polen gefunden, die eineAnalyse zwischen Hardware- und Software-Firewalls.

Ich werde die Schlussfolgerung dieses Dokuments hinzufügen und die wichtigsten Teile fett hervorheben.

Es wurde festgestellt, dass der Durchsatz von Firewalls stark von der Größe der über das Netzwerk übertragenen Pakete abhängt. Der höchste Durchsatz, der sehr nahe an der Kapazität einer direkten Verbindung liegt, wurde bei Paketen mit einer Länge von 1 kB oder mehr festgestellt, bei kleineren Paketlängen war der Durchsatz erheblich geringer. Wir können daraus schließen, dass die optimale Paketgröße bei Verwendung von Netzwerk-Firewalls 1 kB beträgt. Eine sehr interessante Schlussfolgerung ist die Tatsache, dass dieDie Leistung der softwarebasierten Firewall war gleich der Leistung der Hardware-Firewalls.

Hardware- und virtuelle Firewalls erwiesen sich als resistent gegen Denial-of-Service-Angriffe. Wie aus der Dokumentation hervorgeht, verfügen sie über integrierte Mechanismen zum Schutz vor DoS-Angriffen. Wir sind davon überzeugt, dass diese Mechanismen wirksam sind.Tatsächlich entspricht das Sicherheitsniveau der Software-Firewall dem Sicherheitsniveau des Host-Betriebssystems.

iptables vs. Hardware-Firewall

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen