这是一个老问题了。我见过两种答案,但从来没有一个全面的答案能解释为什么你想要在受信任的网络中启用防火墙。当我说“受信任”时,我(通常)指的是已经处于活动防火墙后面的 LAN。
我想全面解释一下你为什么想要这样做。我听说过的唯一理由是,你信任的网络中防火墙处于非活动状态会导致“脆弱”的安全安排,而破坏“脆弱”的外部防火墙会暴露所有“脆弱”的内部机器。
答案1
我认为出于多种原因,在网络内设置防火墙是一件好事。
- 保护您的敏感内部数据不被修改/窃取/删除。如果贵公司的每个最终用户都可以通过网络访问所有生产数据库服务器,那么密码就是保护您数据的唯一方法。在某些情况下(sql 帐户与域帐户),整个开发人员通常拥有所有这些数据库的写访问密码。我看到的大多数统计数据表明,您受到内部攻击的可能性远大于外部攻击者。心怀不满的员工可能会非常积极。
- 保护您的敏感内部数据免遭泄露意外地修改/删除。意外将 Stage Web 服务器指向 Production DB 服务器的情况比您想象的要常见得多。如果您用防火墙隔离 Prod DB 服务器,以便只有 prod Web 服务器和 DBA 可以访问它们,则可以大大降低此风险。
- 更强大、分层的方法。添加的合理安全层越多越好。有些人可能会对此有点疯狂,但总的来说这是一个好主意。
- 随着网络规模的扩大,您需要自我保护。无论是恶意接入点还是笔记本电脑,几乎不可能 100% 确信网络上的所有内容都符合您的安全策略。
答案2
是的,因为边境上只有防火墙,所以只有一个故障点。如果防火墙有漏洞,可以被绕过,那么你的安全就没了。
安全性应该是一种分层的方法,只要有可能,或者至少具有成本效益且适合风险级别,就在每一层应用安全性。
与所有安全建议一样,您应该考虑系统被入侵时所涉及的实际风险。如果您丢失的只是一个没有数据的非关键盒子,那么这可能并不重要。如果您试图保护国家机密、银行账户或医疗保健信息,则需要采用更多层级。
答案3
也不要低估其他员工将带有病毒的笔记本电脑从家里带来并插入你的主干网的能力。
答案4
观察这一现象的一种方式是:
你们公司有某种周边安全措施,对吧?例如,有围栏的门房等。
将其视为您的主防火墙。
尽管如此,你还是会锁上建筑物,锁上建筑物的某些部分,锁上单个办公室等。如果你有扫描的徽章,有些人的徽章甚至不允许他们进入某些建筑物的某些部分,更不用说进入单个办公室了。
每个锁定的部分都像另一个防火墙一样。
如果您要使用防火墙作为保护措施,您应该考虑让它们将网络的各个部分相互隔离。您不应该仅仅因为数据包在您的边界内就认为它是好的。