我想在一台机器上运行我的防火墙/NAT 软件 (pfsense) 和内部 NAS(目前正在考虑 freenas),供我的 SOHO 使用。目前我将它们分开放在两台不同的机器上,但我想将它们合并起来。这通常不是一个好主意吗?我看到了安全问题,如果防火墙或主机操作系统受到威胁,那么您的数据基本上就被搞砸了。但这真的让我担心吗?
答案1
对于小型办公室用途,只要您没有通过它传输大量流量,我认为从安全角度来看这不一定是个坏主意,但从冗余/可靠性角度来看这不一定是个坏主意。确保您有一个良好的备份程序!
我个人喜欢使用单独的机器,因为即使其中一台机器坏了,也不会影响其他机器。VM 服务器可以节省能源、噪音和管理麻烦,但确实会产生单点故障,因此在制定预算时需要考虑这一点;如果明天您的计算机完全坏了,恢复这些数据对您来说值多少钱?这应该是您愿意在备份硬件上花费的金额。
为了安全,虽然可能会有人担心,但实际上,只要您保持更新并监控日志(当然还要做好备份),您就可以通过网络进行很好的分区,以防止您可能遇到的大多数攻击问题。我看到的唯一其他安全问题是,通常您不能相信机器会自我监控;如果某些东西被入侵,它就会报告它想要的日志和数据。执行 IP 监控/记录/等的外部系统在监控网络内部发生的事情方面更可靠(除非防火墙系统被入侵,但许多设备可以从只读映像运行,只有一个数据分区来保存日志/缓存)。
再次,从您的描述来看,我认为整合不会给您带来太多损失,而且从长远来看可能会获得更多收益,只要您制定了备份计划并在硬件发生故障后为您的 VM 服务器提供必要的备用设备。您没有提到您正在考虑的 VM 服务器,但我可能错误地认为您正在考虑 VMWare ESXi 或 Linux“裸机”虚拟机管理程序之类的东西?与在常规服务器或工作站操作系统上运行相比,运行裸机虚拟机管理程序通常攻击面较小...
答案2
您的数据有多宝贵?机器很便宜。您的时间却不便宜。
我倾向于使用单独的机器,以尽可能简化配置和维护。此外,获取数据需要两次入侵,而不是一次。
答案3
这取决于您。大多数情况下,任何直接连接到互联网的东西,即使是防火墙,都会成为第一个受到攻击的点之一。任何经过 NAT 的内部网络服务器也是如此,这实际上会使该段成为一种 DMZ。
在 SOHO 环境中,我经常喜欢将主边界路由器/防火墙和文件服务器作为单独的服务器。即便如此,根据可用资源,我也可能采取其他做法。SOHO 和企业是截然不同的服务级别,即使对于我的家庭办公室也是如此。我个人会做出妥协,但从专业角度而言,我不会鼓励客户做出妥协。