В настоящее время я использую ISA 2004 и скоро буду использовать Untangle box. Я всегда чувствовал себя немного безопаснее, размещая эти более продвинутые программные брандмауэры за тупым аппаратным брандмауэром (вроде маршрутизаторов среднего класса). Так что в основном я делаю переадресацию портов по мере необходимости с аппаратного брандмауэра на программный брандмауэр, который, конечно, имеет более сложную конфигурацию.
Как я понимаю, это, по крайней мере, немного защищает меня от случайного открытия чего-либо на программном брандмауэре и потенциально от сбоев в программном брандмауэре. Однако, это действительно помогает мне только блокируя порты на границе (ну, это немного лучше, но не намного). Плюс это усложняет конфигурацию и сложнее тестировать каждую систему по отдельности.
Стоит ли мне отказаться от дешевого маршрутизатора/брандмауэра?
решение1
Лично я, и это только мое мнение, не вижу особой логики в этом. Если вы можете ошибиться на одном брандмауэре, вы можете ошибиться на двух. Если один из них сомнителен, то и два могут быть сомнительными. Почему тогда не три, или четыре, или пять?
Я бы предпочел внедрить единый межсетевой экран корпоративного класса, имеющий надежную, проверенную репутацию, и поручить независимой, опытной, беспристрастной стороне проверку его конфигурации и работы, а также проведение тестирования на предмет вторжений.
Это как в старой поговорке: если одна таблетка мне полезна, то две должны быть лучше, верно?
решение2
С точки зрения безопасности, вам нужно взвесить риски для вашей среды. Цепочка устройств потенциально более безопасна (при условии, что они используют разные технологии), но, как вы уклонились, создает (гораздо) больше накладных расходов на обслуживание.
Лично я, если вы не являетесь большой целью и/или не видите большого объема трафика, то я не думаю, что преимущества безопасности перевешивают стоимость накладных расходов на обслуживание. Опять же, это зависит от того, что вы защищаете и как долго вы можете позволить себе быть в состоянии простоя, если что-то случится и вам придется перестраиваться. Это то, что можете рассчитать только вы.
С точки зрения производительности, какую нагрузку вы рассматриваете? Одна из самых больших проблем, с которыми я сталкивался при объединении устройств в цепочку в решении брандмауэра, — это узкие места в аппаратной обработке, когда одно меньшее устройство душит все, потому что не может обрабатывать данные достаточно быстро.
Самая главная причина — иметь несколько барьеров защиты. Уязвимости одной системы, как правило, не будут присутствовать в другой, поэтому это добавляет еще одну переменную, с которой придется иметь дело злоумышленнику. Однако она начинает быстро идти на спад и приносит лишь незначительную пользу, если рассматривать такие вещи, как DoS-атаки на экстремальное периферийное устройство. Когда это происходит, вы влипли, пока не разрешите эту атаку.
решение3
В своих сетях я использую многоуровневый подход. Обычно это сводится к внешнему граничному брандмауэру, а по мере приближения к различным машинам — к большему количеству слоев, включая хостовый брандмауэр на большинстве из них.
Поэтому, хотя я бы сказал, что наличие более одного параметра полезно, я не считаю, что наличие более одного уровня для каждого из этих параметров будет более безопасным.
решение4
Дешево не обязательно значит плохо. Например,RouterStation ProOpenWRT и Shorewall — очень эффективный брандмауэр... за 79 долларов США, не включая корпус и инжектор питания. Главное, что у него операционная система корпоративного уровня, а также достаточно памяти и процессора, чтобы он не стал узким местом вашей сети. Использование одного из них имеет смысл, тогда как потребительское устройство с прошивкой по умолчанию — нет.