老問題了。我見過對此問題有兩種看法,但從來沒有一個全面的答案來解釋為什麼您希望防火牆在受信任的網路中處於活動狀態。當我說「可信」時,我(通常)指的是已經位於活動防火牆後面的 LAN。
我想了解您為什麼想要這個的全面原因。我聽說過的唯一論點是,您的可信任網路中不活動的防火牆會導致「脆硬」的安全安排,突破「脆硬」的外部防火牆會暴露所有「軟嚼」的內部機器。
答案1
我認為出於多種原因,在網路內安裝防火牆是一件好事。
- 保護您的敏感內部資料不被修改/竊取/刪除。如果公司中的每個最終用戶都可以透過網路存取所有生產資料庫伺服器,則密碼可以保護您的資料。在某些情況下(sql 帳戶與網域帳戶),整個開發人員通常擁有所有這些資料庫的寫入存取密碼。我看到的大多數統計數據表明,與外部攻擊者相比,您更有可能受到內部攻擊。心懷不滿的員工可能會受到極大的激勵。
- 保護您的敏感內部資料不被洩露不小心修改/刪除。意外地將 Stage Web 伺服器指向生產資料庫伺服器的情況比您想像的要頻繁得多。如果您對產品資料庫伺服器設定防火牆,以便只有產品 Web 伺服器和 DBA 可以存取它們,則可以大幅降低此風險。
- 更強大的分層方法。添加的合理安全層越多越好。有些人可能會對此感到有點瘋狂,但總的來說這是一個好主意。
- 隨著您的網路變得越來越大,您需要自我保護。無論是惡意存取點還是筆記型電腦,幾乎不可能 100% 確信網路上的所有內容都符合您的安全策略。
答案2
是的,僅僅因為邊界上只有防火牆,就會出現單點故障。如果該防火牆存在允許繞過的錯誤,那麼您的安全性就會消失。
安全性應該是一種分層方法,只要有可能,或至少具有成本效益,並且適合風險級別,就在每一層應用安全性。
與所有安全建議一樣,您應該考慮系統遭到破壞時所涉及的實際風險。如果您失去的只是一個沒有數據的非關鍵盒子,那麼這可能並不重要。如果您想保護國家機密、銀行帳戶或醫療保健訊息,則需要採用更多層。
答案3
永遠不要低估其他員工從家中帶來攜帶病毒的筆記型電腦並將其插入您的骨幹網路的能力。
答案4
看待這個問題的一種方法是:
你們公司有某種外圍安全措施,對吧?即,有柵欄的門房等。
將此視為您的主要防火牆。
儘管如此,你仍然可以鎖定建築物,鎖定建築物的某些部分,並鎖定單一辦公室等。說進入單一辦公室了。
每個鎖定的部分就像另一個防火牆。
如果您打算使用防火牆作為保護,您應該考慮讓它們將網路的各個部分相互隔離。您不應該僅僅因為資料包在您的範圍內就認為它是好的。