iptables 与硬件防火墙

iptables 与硬件防火墙

我想知道是否有人可以谈谈基于硬件的防火墙与直接在 Web 服务器上使用 iptables 相比的优势。

我正在评估为一个生产箱配备专用防火墙的成本效益。

答案1

除了(可能)的性能问题之外,需要注意的一点是,如果你的防火墙与它所保护的服务器不在同一台服务器上,如果有人访问网络服务器,他们仍然无法干扰防火墙,这意味着他们无法更改您的传出规则等。

也可以设置单独的防火墙,以避免任何通过网络访问它的方式,这又增强了它防止被篡改的防御能力。

请记住,这对于单独的盒子的软件防火墙也是如此,不一定是硬件防火墙。

答案2

如果您试图保护整个网络的一部分,我会使用硬件防火墙;如果您试图保护特定应用程序,我会使用软件防火墙。硬件保护您的空间免受整体环境之外的入侵者的侵害,而软件保护特定功能免受环境其他部分的侵害。

话虽如此,在这种情况下,您保护的是单个盒子,所以我会选择软件。性能影响应该不会太严重,直到您考虑使用多个 Web 服务器时,在这种情况下,您需要考虑硬件路线。

是的,正如其他地方所述,硬件防火墙总体上更可靠。如果您经常修改它们,设置和维护起来也会更麻烦。关于可疑流量进入独立于 Web 服务器的设备可以提高安全性的观点很有道理,但我认为,总体安全性的提高并不能通过单个服务器级别的额外成本来证明(有一些明显的例外)。成熟的软件防火墙,设置简单,安装在定期维护的服务器上,除了 Web 功能所需的服务外,没有运行任何其他服务,现在应该是稳定和安全的。或者,至少在您开始通过 HTTP 流量获得缓冲区溢出漏洞之前,防火墙不会捕获这些漏洞。

答案3

除非有中继点击,否则它始终是软件防火墙。你只是希望软件足够隐蔽,以至于没有人知道如何破解它。

我曾经使用过许多基于 IPTables 的 Linux 防火墙、Cisco PIX 和现成的消费机箱。在所有这些防火墙中,Linux 防火墙需要重新启动的问题最少。大多数防火墙的正常运行时间都超过了 2 年。我倾向于在系统需要重新启动之前让 UPS 中的电池耗尽电量。

05:35:34 启动 401 天,4:08,1 个用户,平均负载:0.02、0.05、0.02 我 401 天前更换了 UPS。

在 30 个 Cisco PIX 防火墙中,有 3 个在使用 2 年后失效,还有 5 个大约每 2 个月就必须重新启动一次。

“硬件”防火墙的最大优势往往是体积小,并且没有移动部件。

答案4

我找到了一篇来自波兰大学的研究论文,其中提出了硬件和软件防火墙的分析

我将添加本文的结论,并用粗体突出显示最相关的部分。

我们已经观察到,防火墙的吞吐量很大程度上取决于通过网络传输的数据包的大小。当数据包长度等于或大于 1 kB 时,吞吐量最高,非常接近直接连接的容量,而对于较小的数据包长度,吞吐量则要小得多。我们可以得出结论,在使用网络防火墙时,数据包的最佳大小是 1 kB。非常有趣的结论是软件防火墙的性能与硬件防火墙的性能相同

事实证明,硬件和虚拟防火墙能够抵御拒绝服务攻击。如文档所示,它们具有内置的 DoS 保护机制。我们确信这些机制是有效的。软件防火墙的安全级别实际上等于主机操作系统的安全级别。

相关内容