iptables против аппаратного брандмауэра

Question 1

Помимо (возможных) проблем с производительностью, следует помнить, что если ваш брандмауэр не находится на том же сервере, что и тот, который он защищает, и кто-то каким-то образомделаетполучить доступ к веб-серверу, они все равно не смогут вмешаться в работу брандмауэра, то есть не смогут изменить ваши исходящие правила и т. д.

Также можно настроить отдельный брандмауэр, чтобы не былолюбойспособ доступа к нему через сеть, что опять же повышает его защиту от несанкционированного доступа.

Имейте в виду, что это также справедливо для программного брандмауэра, представляющего собой отдельный блок, он не обязательно должен быть аппаратным.

Answer

Помимо (возможных) проблем с производительностью, следует помнить, что если ваш брандмауэр не находится на том же сервере, что и тот, который он защищает, и кто-то каким-то образомделаетполучить доступ к веб-серверу, они все равно не смогут вмешаться в работу брандмауэра, то есть не смогут изменить ваши исходящие правила и т. д.

Также можно настроить отдельный брандмауэр, чтобы не былолюбойспособ доступа к нему через сеть, что опять же повышает его защиту от несанкционированного доступа.

Имейте в виду, что это также справедливо для программного брандмауэра, представляющего собой отдельный блок, он не обязательно должен быть аппаратным.

Question 2

Я бы использовал аппаратный брандмауэр, если вы пытаетесь защитить сегмент сети в целом, и программный брандмауэр, если вы пытаетесь защитить конкретное приложение. Аппаратное обеспечение защищает ваше пространство от вторжений извне вашей общей среды, а программное обеспечение защищает конкретную функцию даже из других частей вашей среды.

Тем не менее, в этом случае вы защищаете один ящик, поэтому я бы просто выбрал программное обеспечение. Удар по производительности не должен быть слишком сильным, пока вы в любом случае не рассмотрите более одного веб-сервера, в этом случае вам захочется рассмотреть вариант с оборудованием.

И да, как уже отмечалось, аппаратные брандмауэры, как правило, в целом более надежны. Также их сложнее настраивать и поддерживать в порядке, если вам приходится часто их изменять. Высказанные соображения относительно повышения безопасности при попадании подозрительного трафика на устройство, которое отделено от веб-сервера, хорошо обоснованы, но я считаю, что общее повышение безопасности не оправдано дополнительными расходами на уровне одного сервера (за некоторыми заметными исключениями). Зрелый программный брандмауэр, настроенный просто и на регулярно обслуживаемом сервере, на котором не запущены никакие другие службы, кроме тех, которые требуются для его веб-функциональности, должен быть стабильным и безопасным в наши дни. Или, по крайней мере, так будет до тех пор, пока вы не начнете получать эксплойты переполнения буфера, проходящие через HTTP-трафик, который брандмауэр в любом случае не поймает.

Answer

Я бы использовал аппаратный брандмауэр, если вы пытаетесь защитить сегмент сети в целом, и программный брандмауэр, если вы пытаетесь защитить конкретное приложение. Аппаратное обеспечение защищает ваше пространство от вторжений извне вашей общей среды, а программное обеспечение защищает конкретную функцию даже из других частей вашей среды.

Тем не менее, в этом случае вы защищаете один ящик, поэтому я бы просто выбрал программное обеспечение. Удар по производительности не должен быть слишком сильным, пока вы в любом случае не рассмотрите более одного веб-сервера, в этом случае вам захочется рассмотреть вариант с оборудованием.

И да, как уже отмечалось, аппаратные брандмауэры, как правило, в целом более надежны. Также их сложнее настраивать и поддерживать в порядке, если вам приходится часто их изменять. Высказанные соображения относительно повышения безопасности при попадании подозрительного трафика на устройство, которое отделено от веб-сервера, хорошо обоснованы, но я считаю, что общее повышение безопасности не оправдано дополнительными расходами на уровне одного сервера (за некоторыми заметными исключениями). Зрелый программный брандмауэр, настроенный просто и на регулярно обслуживаемом сервере, на котором не запущены никакие другие службы, кроме тех, которые требуются для его веб-функциональности, должен быть стабильным и безопасным в наши дни. Или, по крайней мере, так будет до тех пор, пока вы не начнете получать эксплойты переполнения буфера, проходящие через HTTP-трафик, который брандмауэр в любом случае не поймает.

Question 3

Если только реле не щелкает, это всегда программный брандмауэр. Вы просто надеетесь, что программное обеспечение достаточно скрытно, чтобы никто не знал, как его взломать.

У меня было и есть много межсетевых экранов Linux на основе IPTables, Cisco PIX и готовых потребительских коробок. Из всех них у межсетевых экранов Linux меньше всего проблем с необходимостью перезагрузки. Большинство из них превысили 2 года согласованного времени безотказной работы. У меня, как правило, батареи в ИБП разряжаются до того, как системе требуется перезагрузка.

05:35:34 до 401 дня, 4:08, 1 пользователь, средняя нагрузка: 0,02, 0,05, 0,02 Я заменил ИБП 401 день назад.

Из 30 межсетевых экранов Cisco PIX 3 вышли из строя через 2 года, а 5 приходилось перезагружать примерно каждые 2 месяца.

Большим преимуществом «аппаратных» брандмауэров зачастую является их компактный размер и, желательно, отсутствие движущихся частей.

Answer

Если только реле не щелкает, это всегда программный брандмауэр. Вы просто надеетесь, что программное обеспечение достаточно скрытно, чтобы никто не знал, как его взломать.

У меня было и есть много межсетевых экранов Linux на основе IPTables, Cisco PIX и готовых потребительских коробок. Из всех них у межсетевых экранов Linux меньше всего проблем с необходимостью перезагрузки. Большинство из них превысили 2 года согласованного времени безотказной работы. У меня, как правило, батареи в ИБП разряжаются до того, как системе требуется перезагрузка.

05:35:34 до 401 дня, 4:08, 1 пользователь, средняя нагрузка: 0,02, 0,05, 0,02 Я заменил ИБП 401 день назад.

Из 30 межсетевых экранов Cisco PIX 3 вышли из строя через 2 года, а 5 приходилось перезагружать примерно каждые 2 месяца.

Большим преимуществом «аппаратных» брандмауэров зачастую является их компактный размер и, желательно, отсутствие движущихся частей.

Question 4

Я нашел исследовательскую работу из польского университета, в которой делаетсяанализ между аппаратными и программными брандмауэрами.

Я добавлю заключение к этой статье и выделю наиболее важные части жирным шрифтом.

Было замечено, что пропускная способность брандмауэров сильно зависит от размера пакета, передаваемого по сети. Самая высокая пропускная способность, очень близкая к пропускной способности прямого соединения, была замечена для пакетов длиной равной и большей 1 кБ, для пакетов меньшей длины пропускная способность была значительно меньше. Мы можем сделать вывод, что оптимальный размер пакета составляет 1 кБ при использовании сетевых брандмауэров. Очень интересным выводом является тот факт, чтопроизводительность программного брандмауэра была равна производительности аппаратного..

Аппаратные и виртуальные межсетевые экраны оказались устойчивы к атакам типа «отказ в обслуживании». Как показывает документация, в них встроены механизмы защиты от DoS. Мы убедились, что эти механизмы эффективны.Уровень безопасности программного брандмауэра фактически равен уровню безопасности операционной системы хоста.

Answer

Я нашел исследовательскую работу из польского университета, в которой делаетсяанализ между аппаратными и программными брандмауэрами.

Я добавлю заключение к этой статье и выделю наиболее важные части жирным шрифтом.

Было замечено, что пропускная способность брандмауэров сильно зависит от размера пакета, передаваемого по сети. Самая высокая пропускная способность, очень близкая к пропускной способности прямого соединения, была замечена для пакетов длиной равной и большей 1 кБ, для пакетов меньшей длины пропускная способность была значительно меньше. Мы можем сделать вывод, что оптимальный размер пакета составляет 1 кБ при использовании сетевых брандмауэров. Очень интересным выводом является тот факт, чтопроизводительность программного брандмауэра была равна производительности аппаратного..

Аппаратные и виртуальные межсетевые экраны оказались устойчивы к атакам типа «отказ в обслуживании». Как показывает документация, в них встроены механизмы защиты от DoS. Мы убедились, что эти механизмы эффективны.Уровень безопасности программного брандмауэра фактически равен уровню безопасности операционной системы хоста.

iptables против аппаратного брандмауэра

решение1

решение2

решение3

решение4

Связанный контент