我目前正在运行 ISA 2004,很快将运行 Untangle 盒。我一直觉得将这些更先进的软件防火墙放在愚蠢的硬件防火墙(如中档消费路由器)后面会更安全一些。所以基本上我会根据需要从硬件防火墙向软件防火墙进行端口转发,而软件防火墙的配置当然更复杂。
我认为,这至少可以在一定程度上防止我意外打开软件防火墙上的某些东西,以及软件防火墙可能出现的故障。然而,它实际上只能通过阻止边缘端口来帮我(好吧,它比这好一点,但不是很多)。此外,它使配置更加复杂,并且更难独立测试每个系统。
我是否应该抛弃廉价的路由器/防火墙盒?
答案1
就我个人而言,这只是我的观点,我认为这样做没有什么逻辑。如果你可以在一个防火墙上犯错,那么在两个防火墙上也可能会犯错。如果一个防火墙有问题,那么两个防火墙也可能有问题。那么为什么不可以在三个、四个或五个防火墙上犯错呢?
我宁愿实施一个具有可信、可靠记录的单一企业级防火墙,并让一个独立的、有经验的、公正的机构为我验证其配置和操作,并为我对其进行入侵测试。
这有点像那句古老的谚语:如果一颗药对我有好处,那么两颗一定更好,对吗?
答案2
从安全角度来看,您必须权衡环境的风险。链接设备可能更安全(只要它们采用不同的技术),但正如您所提到的,这会产生(更多)更多的维护开销。
就我个人而言,如果你不是大目标,并且/或者没有看到大量流量,那么我认为安全优势不会超过维护成本。不过,这同样取决于你保护的内容以及如果发生意外而必须重建,你能承受多长时间的宕机。只有你自己才能计算。
从性能角度来看,您面临的负载类型是怎样的?在防火墙解决方案中链接设备时,我见过的最大问题之一是硬件处理瓶颈,其中一个较小的设备会因为无法足够快地处理事务而阻碍整个解决方案。
最大的原因是要有多重保护屏障。一个系统的漏洞通常不会出现在另一个系统中,因此它为攻击者提供了另一个需要处理的变量。不过,它很快就会开始恶化,而且在考虑针对极端边缘设备的 DoS 攻击等事情时,它只会带来微不足道的好处。当这种情况发生时,除非你解决该攻击,否则你就完蛋了。
答案3
在我自己的网络里,我使用多层方法。这通常归结为外部边界防火墙,当你靠近各种机器时,会有更多的层,其中大多数机器上都有基于主机的防火墙。
因此,虽然我认为拥有多个参数很有用,但我不认为在每个参数上拥有多个层会更安全。
答案4
便宜并不一定意味着劣质。例如,RouterStation 专业版运行 OpenWRT 和 Shorewall 是一款功能非常强大的防火墙……售价 79 美元,不包括机箱和电源注入器。关键是,它拥有企业级操作系统,以及足够的内存和 CPU,因此不太可能成为网络瓶颈。使用其中一种是有意义的,而运行其默认固件的消费级设备则不然。