我正在考虑在网络上实施 pfSense 防火墙,在实施方面我有很多选择。具体来说,我可以:
- 将每个网络区域(WAN、DMZ、核心)粘贴在进入防火墙设备的单独接口上。
- 将单个 dot1q 中继传输到包含承载不同网络的 3 个 VLAN 的防火墙,并将其传送到它们之间的防火墙。
我有点紧张,倾向于 (1),因为不同信任的流量在物理隔离的网络上更整洁。然而,(2) 似乎更整洁一点,而且防火墙上需要的 NIC 更少。
显然,(2)在带宽方面存在劣势,我只能通过防火墙在所有网络上传输总共 1Gbps 的带宽,但目前这不是问题。
我的问题是,选择 (2) 是否会带来我不知道的其他风险?位于 WAN 网络上的攻击者是否可以通过与他们共享进入防火墙的 dot1Q 中继来拦截/更改其他两个网络上的流量?
答案1
需要注意的一类漏洞被称为“VLAN 跳跃” - 存在一些攻击方法,其中攻击者可以向数据包添加 802.1q 标头,或者在已经有一个标头的数据包上添加一个额外的标头(根据规范,这是合法的),目的是让某些设备将数据包转发到网络正常运行中不应该进入的网络。
然而,这肯定是有限制的——在当今时代,攻击需要严重的网络配置错误才会存在漏洞(忽略标签的端口面对接受标签的端口,攻击者访问动态中继协议思科端口,或攻击者访问接受不应该接受的标签的端口),而不是网络设备软件本身的漏洞——例如,大多数软件都应该不会让标记数据包从接入端口传出。
攻击者需要与您的 WAN 接口位于同一广播域才能尝试进行此攻击,并且可感知 VLAN 的设备数量有限,因此这种错误配置的影响范围很小。
有一篇有趣的文章尝试对思科设备进行概念验证攻击这里。
老实说,物理分离可防止的更大安全风险是简单的配置错误 - 意外地在 WAN 接口上接受标记为内部 VLAN 的数据包,或者意外地将 WAN 链路插入内部 VLAN 的访问端口。
只要您了解风险和潜在威胁,精心规划和正确配置的单接口布局肯定可以与隔离配置一样安全。
答案2
简短的回答是“不”,它们应该是等价的。您已经提到了共享带宽,因此例外情况是,一个接口上的 DOS 攻击可能会影响其他接口上的流量,但从安全角度来看,它们不应该能够访问其他 VLAN。
这一切都假设 VLAN 已正确配置并且彼此隔离(有防火墙)。