到目前为止,在我工作过的几乎所有公司中,我都没有看到主机实施的防火墙 (iptables) 用于内部服务器或桌面。我只是想知道这在世界上有多普遍。
此外,这是好事还是坏事?为什么?
答案1
DMZ 和内部网络之间的防火墙很常见。在内部网络内可能没有那么多。Windows 有默认防火墙,每个人都讨厌它,有些人会禁用它。具体来说,设置防火墙可能并不常见,因为您需要在防火墙上设置很多漏洞才能让员工工作,这样攻击者想要做的任何事情都不会花很长时间找到具有访问权限的机器。
话虽如此,我曾经在一家公司工作过,这家公司有大约 12 个不同的内部网络,它们之间拒绝所有防火墙。做任何事情都是一场噩梦,需要花费数小时才能打开所需的特定防火墙漏洞。
答案2
在我的工作地点(一所中等规模的私立文理大学),我们使用三种不同的防火墙。首先,有一个边界防火墙,用于监管我们内部网络和互联网之间的所有流量。其次,每个 VLAN 都有一个防火墙。第三,每个主机(无论是 Linux 还是 Windows)都有自己的基于主机的防火墙。
所有防火墙都默认拒绝入站流量,我们只在必要时设置漏洞。通常对出站流量没有任何规则(除了阻止 SMTP、DNS 等)。是的,这意味着需要做一些额外的工作,比如为新的 Web 服务器打开端口 80/443(网络团队需要修改外围防火墙和 VLAN 防火墙,系统团队需要修改 iptables 规则),但这样做的好处是值得的。
例如,假设我们没有使用基于主机的防火墙,并且我们的 Linux 服务器 VLAN 中的某个盒子被攻破。在这种情况下,被攻破的主机将能够访问该 VLAN 中其他服务器上的所有端口,从而可能使其他主机也受到攻破。但是,使用基于主机的防火墙,您可以限制损失。在我们的案例中,我们只允许流量到特定端口从仅允许需要访问的子网。例如,我们通常仅允许从我们团队工作站所在的子网访问我们服务器上的端口 22 (ssh)。
总之,我的感觉是,虽然实施基于主机的防火墙有时很麻烦,但还是值得付出额外的努力。
答案3
如今,老式的防火墙不再具有保护作用。常见的攻击是针对开放的 http 或 https 服务器端口发起的 - 这些端口必须开放才能提供服务。
除此之外,您还可以为您的服务使用 IP 绑定,并将必要的服务绑定到本地主机,这样就无法从外部联系它们。通过这种设置,您将不再需要防火墙。
例外情况可能是您内部网络中的服务器,外部支持可以访问该服务器(但不是管理员权限),您可能希望阻止连接到与该服务器无关的其他服务器(出站防火墙)。或者您也可以通过路由规则来做到这一点:默认禁止任何路由,并明确允许连接到哪里(再次强调:这里不需要防火墙)。