저는 현재 ISA 2004를 실행하고 있으며 곧 Untangle 상자를 실행할 예정입니다. 저는 항상 이러한 고급 소프트웨어 방화벽을 멍청한 하드웨어 방화벽(예: 중급 소비자 라우터) 뒤에 두는 것이 조금 더 안전하다고 느꼈습니다. 그래서 기본적으로 하드웨어 방화벽에서 더 복잡한 구성을 가진 소프트웨어 방화벽으로 필요에 따라 포트 전달을 수행합니다.
내가 생각하는 방식에 따르면 이는 적어도 소프트웨어 방화벽에서 실수로 무언가를 열거나 잠재적으로 소프트웨어 방화벽의 결함으로부터 나를 보호해 줍니다. 그러나 실제로는 가장자리에 있는 포트를 차단함으로써만 도움이 됩니다(글쎄, 그보다 조금 낫기는 하지만 그다지 많지는 않습니다). 또한 구성이 더 복잡해지고 각 시스템을 독립적으로 테스트하기가 더 어렵습니다.
값싼 라우터/방화벽 상자를 버려야 할까요?
답변1
개인적으로 이것은 내 의견일 뿐이며 이 작업에는 논리가 별로 없습니다. 하나의 방화벽에서 실수를 할 수 있다면 두 가지 방화벽에서도 실수할 수 있습니다. 하나가 멍청하면 둘도 멍청할 수 있다. 그렇다면 왜 3개, 4개, 5개는 안되나요?
나는 오히려 신뢰할 수 있고 입증된 실적을 갖고 독립적이고 경험이 풍부하며 편견이 없는 당사자가 구성 및 작동을 검증하고 침입 테스트를 수행하도록 하는 단일 엔터프라이즈급 방화벽을 구현하고 싶습니다.
그것은 일종의 오래된 속담과 같습니다: 한 알이 나에게 좋다면 두 알이 더 좋을 것입니다. 그렇죠?
답변2
보안 관점에서 환경에 대한 위험을 평가해야 합니다. 장치를 연결하는 것은 잠재적으로 더 안전하지만(다른 기술인 경우), 여러분이 간과한 것처럼 유지 관리 오버헤드가 훨씬 더 많이 발생합니다.
개인적으로 큰 목표가 아니거나 트래픽 양이 많지 않다면 보안상의 이점이 유지 관리 오버헤드 비용보다 중요하지 않다고 생각합니다. 하지만 이는 무엇을 보호하고 있는지, 어떤 일이 발생하여 재구축해야 할 경우 얼마나 오랫동안 가동을 중단할 수 있는지에 따라 달라집니다. 그것은 당신만이 계산할 수 있는 것입니다.
성능 관점에서 볼 때 어떤 종류의 로드를 보고 계시나요? 방화벽 솔루션에서 장치를 연결할 때 제가 본 가장 큰 문제 중 하나는 하나의 작은 장치가 모든 것을 충분히 빠르게 처리할 수 없기 때문에 병목 현상을 처리하는 하드웨어 처리 병목 현상입니다.
가장 큰 이유는 보호 장벽이 여러 개 있다는 것입니다. 한 시스템의 취약점은 일반적으로 다른 시스템에는 존재하지 않으므로 공격자가 처리할 수 있는 변수가 하나 더 추가됩니다. 하지만 서둘러 남쪽으로 이동하기 시작하며 익스트림 에지 장치에 대한 DoS 공격과 같은 것을 고려할 때 약간만 유익합니다. 그런 일이 발생하면 해당 공격을 해결할 때까지 당신은 망할 것입니다.
답변3
내 네트워크에서는 다층 접근 방식을 사용합니다. 이는 일반적으로 외부 보더 방화벽으로 귀결되며 다양한 시스템에 가까워질수록 대부분의 호스트 기반 방화벽을 포함하여 더 많은 계층이 있습니다.
따라서 매개변수를 두 개 이상 갖는 것이 유용하다고 말하고 싶지만, 각 매개변수에 레이어를 두 개 이상 갖는 것이 더 안전할 것이라고는 생각하지 않습니다.
답변4
저렴하다고 반드시 불쾌한 것은 아닙니다. 예를 들어,라우터스테이션 프로OpenWRT와 Shorewall을 실행하는 것은 케이스와 파워 인젝터를 제외하고 미화 79달러에 매우 유능한 방화벽입니다. 중요한 점은 엔터프라이즈급 운영 체제와 네트워크에 병목 현상이 발생하지 않을 만큼 충분한 메모리와 CPU가 있다는 것입니다. 이들 중 하나를 사용하는 것은 의미가 있지만 기본 펌웨어를 실행하는 소비자급 장치는 실제로 그렇지 않습니다.