我目前正在運行 ISA 2004,很快就會運行 Untangle 盒。我一直覺得將這些更先進的軟體防火牆放在愚蠢的硬體防火牆(例如中階消費者路由器)後面會更安全。所以基本上我會根據需要從硬體防火牆到軟體防火牆進行連接埠轉發,當然軟體防火牆的配置更複雜。
我認為,這至少可以保護我免於意外打開軟體防火牆上的某些內容,並可能避免軟體防火牆中的故障。然而,它實際上只能透過阻止邊緣的端口來幫助我(嗯,它比這好一點,但也好不了多少)。另外,它使配置變得更加複雜,並且更難以獨立測試每個系統。
我應該放棄便宜的路由器/防火牆盒嗎?
答案1
就我個人而言,這只是我的觀點,我認為這樣做沒有太多邏輯。如果您可以在防火牆上犯錯,那麼您也可以在兩個防火牆上犯錯。如果一個人狡猾,那麼兩個人也可能狡猾。那為什麼不是三個、四個或五個呢?
我寧願實施一個單一的企業級防火牆,該防火牆具有值得信賴、經過驗證的追蹤記錄,並由獨立、經驗豐富、公正的一方為我驗證其配置和操作,並為我執行入侵測試。
這有點像古老的格言:如果一顆藥對我有好處,那麼兩顆一定更好,對嗎?
答案2
從安全角度來看,您必須權衡環境的風險。連結設備可能更安全(只要它們是不同的技術),但是,正如您所迴避的那樣,會產生(更多)更多的維護開銷。
就我個人而言,如果您不是一個大目標和/或沒有看到大量流量,那麼我認為安全優勢不會超過維護開銷的成本。不過,這又取決於您所保護的內容以及如果發生某些情況而您必須重建時您可以承受多長時間的停機。那是只有你可以計算的事情。
從效能的角度來看,您正在考慮什麼樣的負載?在防火牆解決方案中連結設備時,我看到的最大問題之一是硬體處理瓶頸,其中一個較小的設備會阻塞整個設備,因為它無法足夠快地處理事物。
最大的原因是有多重保護屏障。一個系統的漏洞通常不會出現在另一個系統中,因此它又增加了一個變數供攻擊者處理。不過,它很快就開始走下坡路,而且在考慮極端邊緣設備的 DoS 攻擊等情況時,它的作用只是微乎其微。當這種情況發生時,你就完蛋了,直到你解決了攻擊。
答案3
在我自己的網路上,我使用多層方法。這通常歸結為外部邊界防火牆,當您靠近各種機器時,更多的層,包括大多數機器上的基於主機的防火牆。
因此,雖然我想說擁有多個參數是有用的,但我不認為每個參數擁有超過一層會更安全。
答案4
便宜不一定代表不好。例如,一個路由器站專業版運行 OpenWRT 和 Shorewall 是一款功能非常強大的防火牆...售價 79 美元,不包括外殼和電源注入器。關鍵是,它擁有企業級作業系統以及足夠的記憶體和 CPU,不會成為網路瓶頸。使用其中之一是有意義的,而運行其預設韌體的消費級設備實際上沒有意義。