我的一位客户让我检查他的网络。我在他的服务器机架中发现了一个Fortinet FortiGate 60和一个合勤科技 Zywall 70. 在我看来,它们两者都是针对 SOHO(拥有 1 台服务器和大约 10 个客户端)的完整防火墙解决方案。
由于我不是网络专家,我不知道这种设置是否有用或者是否只是多余的。
答案1
对于单一外部连接来说,这样的配置是非常不寻常的。
我能想到的为什么小组需要使用第二道防火墙的原因如下。
- 用于访问内部网或外部网
- 对于业务部门分离 - 即财务部门无法访问审计,可能是出于法律原因
- 如果在非前端防火墙设备上配置了远程访问(VPN 或拨号调制解调器)。- 不确定这是否是此类环境所必需的,但有可能
- 外部承包商通过超额销售网络设备来提高利润。
- 第二道防火墙用于为业务合作伙伴提供外网访问。我怀疑这么小的设置是否提供外网访问。
祝你好运
答案2
如果两个防火墙背对背且没有其他网络,则对同一个 LAN 进行过滤听起来会是错误的。
您需要检查这些防火墙并绘制网络图,以便做出决定。只有这样才能为您提供所需的信息。
答案3
仅当它们由不同的团体运营时才有用。
只有当你在一个大型组织(例如大型金融机构或政府机构)时,你才会遇到这种情况。
答案4
多个防火墙设备可以将它们的 LAN 侧面朝内(即朝内),从而为安全的内部 LAN 核心提供高隔离度。其中一个防火墙设备通过 NAT 提供传统的 WAN 保护,其他防火墙设备则提供安全出站基于每个端口、每个设备或者临时“VLAN”从 LAN 端系统进行访问。
由于每个内部设备现在都可以看到防火墙的“硬”侧,这有助于防止在 LAN 连接设备受到损害的情况下整个 LAN 可能发生的即时交叉污染。
如果使用廉价的商用路由器,这种安排本质上是一种经济有效的部署端口安全功能的方法,而这种功能只有在标价 5 位数的高端(例如 Cisco)路由器中才有。不过,如果每个端口只有一个路由器,成本就会迅速增加,因此这种方法只适用于小型 SOHO 或高端家庭网络。
如今,由于 BYOD 场景以及针对路由器的恶意软件攻击增多,出站防火墙保护变得越来越重要。在上述设置中,通过将路由器配置接口设置为无法从其各自防火墙的“外部”访问(即端口连接的设备无法访问),可以大大减少路由器配置攻击。
不必太过分,甚至超越 BYOD,随着对设备绑定软件防火墙的信任度逐渐下降,出站端口控制变得越来越重要。错误配置、UPnP 端口打开、防火墙 UI 中的混淆复杂性、“默认允许”出站策略、安装程序软件的静默重新配置以及最终用户干预都是长期存在的问题。但现在,在某些操作系统的最新版本中,隐藏的 ipv6 自动隧道(用于遥测、广告和营销功能,有时无法禁用)和/或公然的 OS 特权防火墙绕过模式加剧了这些问题。当然,软件防火墙与它们应该保护的设备混合在一起,充其量只能提供可疑的安全性,但这些新的考虑似乎现在表明它们完全毫无意义。将每个 LAN 设备面向面向外的硬件防火墙会使设备绑定的防火墙及其无数问题变得毫无意义。