iptables와 하드웨어 방화벽

(가능한) 성능 문제 외에 명심해야 할 한 가지는 방화벽이 보호하는 서버와 동일한 서버에 있지 않은 경우, 누군가가하다웹 서버에 액세스하더라도 여전히 방화벽을 다룰 수 없습니다. 즉, 나가는 규칙 등을 변경할 수 없다는 의미입니다.

별도의 방화벽을 설정할 수도 있습니다.어느네트워크를 통해 액세스하는 방법을 사용하면 변조로부터의 방어력이 다시 강화됩니다.

이는 별도의 상자인 소프트웨어 방화벽에도 해당되며 하드웨어 방화벽일 필요는 없습니다.

네트워크의 한 부분을 전체적으로 보호하려는 경우에는 하드웨어 방화벽을 사용하고, 특정 애플리케이션을 보호하려는 경우에는 소프트웨어 방화벽을 사용합니다. 하드웨어는 전체 환경 외부의 침입자로부터 공간을 보호하고, 소프트웨어는 환경의 다른 부분에서도 특정 기능을 보호합니다.

즉, 이 경우 단일 상자를 보호하는 것이므로 소프트웨어를 사용하겠습니다. 어쨌든 둘 이상의 웹 서버를 고려할 때까지는 성능 저하가 그리 나쁘지 않을 것입니다. 이 경우 하드웨어 경로를 살펴보는 것이 좋습니다.

그리고 그렇습니다. 다른 곳에서 언급했듯이 하드웨어 방화벽은 전반적으로 더 안정적인 경향이 있습니다. 또한 자주 수정해야 하는 경우 설정하고 똑바로 유지하는 데 더 많은 어려움이 있습니다. 의심스러운 트래픽이 웹 서버와 별도의 장치에 도달하여 보안이 강화된다는 점은 잘 알려져 있지만, 단일 서버 수준의 추가 비용으로는 전체적인 보안 강화가 정당화되지 않는다고 생각합니다. (일부 주목할만한 예외가 있음). 웹 기능에 필요한 것 이상으로 실행되는 다른 서비스가 없는 정기적으로 유지 관리되는 서버에 간단하게 설정되는 성숙한 소프트웨어 방화벽은 오늘날 안정적이고 안전해야 합니다. 또는 적어도 방화벽이 포착하지 못하는 HTTP 트래픽을 통해 버퍼 오버플로 공격을 받기 시작할 때까지는 그럴 것입니다.

릴레이 클릭이 발생하지 않는 한 이는 항상 소프트웨어 방화벽입니다. 당신은 소프트웨어가 해킹 방법을 아무도 모를 정도로 모호하기를 바랄 뿐입니다.

저는 IPTables 기반 Linux 방화벽, Cisco PIX 및 기성 소비자 상자를 많이 보유하고 있습니다. 그 중에서 Linux 방화벽은 재부팅이 필요한 문제가 가장 적습니다. 대부분의 경우 동의 가동 시간이 2년을 초과했습니다. 시스템을 재부팅해야 하기 전에 UPS의 배터리가 방전되는 경향이 있습니다.

05:35:34 위로 401일, 4:08, 사용자 1명, 부하 평균: 0.02, 0.05, 0.02 401일 전에 UPS를 교체했습니다.

30개의 Cisco PIX 방화벽 중 3개는 2년 후에 죽었고, 5개는 2개월 정도마다 재부팅해야 했습니다.

"하드웨어" 방화벽의 가장 큰 장점은 크기가 작고 움직이는 부품이 없다는 것입니다.

저는 폴란드 대학의 연구 논문을 찾았습니다.하드웨어와 소프트웨어 방화벽 간의 분석.

이 논문의 결론을 추가하고 가장 관련성이 높은 부분은 굵은 글씨로 강조하겠습니다.

방화벽의 처리량은 네트워크를 통해 전송되는 패킷의 크기에 크게 좌우되는 것으로 나타났습니다. 직접 연결 용량에 매우 가까운 가장 높은 처리량은 1kB 이상의 패킷 길이에서 나타났으며, 더 작은 패킷 길이의 경우 처리량은 상당히 적었습니다. 네트워크 방화벽을 사용하는 경우 최적의 패킷 크기는 1kB라고 결론을 내릴 수 있습니다. 매우 흥미로운 결론은소프트웨어 기반 방화벽의 성능은 하드웨어 방화벽의 성능과 동일했습니다..

하드웨어와 가상 방화벽은 서비스 거부 공격에 저항력이 있는 것으로 나타났습니다. 문서에 나와 있듯이 DoS 보호를 위한 메커니즘이 내장되어 있습니다. 우리는 그러한 메커니즘이 효과적이라는 것을 확신하게 되었습니다.소프트웨어 방화벽의 보안 수준은 실제로 호스트 운영 체제의 보안 수준과 동일합니다.