我正在考虑为面向 Web 的基础设施设计一种新的网络布局,我很想知道您是否考虑过使用堡垒主机。以当今的技术,这有必要吗?目前我们的配置如下:
互联网--->防火墙--->思科 ASA--->防火墙--->网站(基于 Linux,带有 SSL)。
堡垒主机只会让配置变得复杂吗?还是它真的能为我们提供一些我们还没有的东西?
谢谢!
答案1
除非各种设备具有互不相干的功能集,否则三重防火墙/IPS 层对我来说没有太大意义。如果两个设备“之间”没有代码或恶意活动的机会,并且它们实际上只是背对背地插入,那么这似乎是一个巨大的浪费。
更传统的架构是这样的:
互联网->防火墙/IDS->Web 服务器层->应用服务器层->(可选防火墙/IPS)->数据库
应用服务器层和数据库之间的可选防火墙实际上并没有那么有用,但 PCI 和其他潜在法规要求这样做。对于大多数环境,简单的访问控制或数据库服务器上的软件防火墙对我来说比专用的单独防火墙更有意义。
一个更复杂但可能有用的设置是使用 Web/代理“堡垒主机”层:
互联网->防火墙/IDS->Web/代理服务器->防火墙/IDS->应用程序服务器->(可选防火墙/IPS)->数据库。
我认为,上述设置只有在堡垒主机之间的防火墙/IDS 能够执行比简单的状态数据包过滤更多的操作时才有意义。如果防火墙/IDS 中的 IDS 功能可以查看 HTTP 数据包内部,并且只允许 Web/代理层和应用服务器层之间的一组定义的行为,那么它可能值得。
请注意,任何防火墙/IDS 层都可以实现为在目标主机上运行的软件防火墙。这大大简化了网络,并且比硬件安全解决方案具有更好的扩展性。您确实放弃了用于监控所有流量的集中式“瓶颈”,但这通常是扩展的必要条件。我怀疑 Facebook 或 Google 是否会将所有流量都通过任何防火墙层 - 安全功能必须在该规模上进行分布。
答案2
在中型/大型网络中,通常会看到服务器经过强化的外围网络(堡垒主机的新术语)。在小型网络中,这种情况不再很常见(如果曾经很常见的话)。将单个任务分配给服务器并针对其他所有任务进行强化的想法在中型网络中重新流行起来,因为虚拟化允许您轻松设置专用虚拟机。
我发现这些设置是最常见的:
小型网络:
互联网--->防火墙/路由器--->内部网络(包括服务器和客户端)
中型网络
互联网--->外围防火墙--->外围网络(可访问互联网的服务器)--->内部防火墙--->内部网络(包括服务器和客户端)
高安全性网络:
互联网 ---> 外围防火墙 ---> 外围网络(可访问互联网的服务器)
外围网络 ---> 服务器防火墙 ---> 服务器网络
外围网络 ---> 客户端防火墙 ---> 客户端网络
当然,每个网络都有一些不同之处;但这些是我最常见的主题。防火墙通常结合了 IDS/IDP 以及典型的过滤等。
答案3
我认为堡垒主机如今,防火墙的作用已经减弱了。如果你的网络中有什么东西“经受住了持续的攻击”,那它很可能就是互联网前端的防火墙。
此外,我同意 Chris S 关于如何在不同规模的网络中组织安全性的观点。
如果您要使用 3 个防火墙,最好使用不同的供应商,因为如果您使用相同的防火墙并且有人利用上述硬件/防火墙系统上的漏洞,您将失去所有防火墙。
答案4
我已经好几年没见过堡垒主机被广泛使用了。我没有跟进所有的理由,但如果你决定不这样做,你也会有好朋友的。然而,人们不再这样做的原因可能只是经济原因,与实际或感知到的安全性完全无关……