正如标题所述,我的软件供应商正试图说服我升级到带有硬件防火墙的专用服务器。(我们目前在共享的 Rackspace 虚拟主机上,运行 Ubuntu。)
我们的应用程序数据库不包含机密个人信息,并且我们使用了良好的密码安全性。我们也有备份。
我们为什么要使用硬件防火墙,这有什么充分的理由吗?还是供应商只是想向我们推销产品?
我不想疏忽大意,但我也不想让我们为并不真正需要的服务付费。
感谢您的帮助。
答案1
不,你不需要硬件防火墙。你可能需要 DDoS 缓解,或任何其他服务,但单台机器的硬件防火墙完全是骗人的。
既然您提到您使用的是 Rackspace 共享服务器,我假设您将要使用 Rackspace 专用环境,是的,他们会强制您使用防火墙(实际上是两个防火墙),因为他们在托管的 colo 上至少有 3 台设备。在我看来,这相当于一个骗局,也是我们将所有客户的设备从他们的设施中撤出(或正在撤出)的主要原因。我会找另一家供应商,一家不会强迫您购买不需要的东西的供应商。
答案2
不,不需要,除非它具有某种 DDoS 保护或者您要推送大量流量 >100MB/s。
只要配置正确,Linux 中的防火墙应该能够很好地完成安全方面的工作。
答案3
听起来你供应商没有提供任何让你购买这种设备的正当理由(否则你会解释他的理由吗?)
不包含机密个人信息,[...]。我们也有备份
就其本身而言,这些对于为何需要建立这种专用防火墙没有多大关系。
假设您已经为服务器的防火墙进行了合理的设置,那么就没有理由使用单独的防火墙。
我并不是说你的系统足够安全——这是一个完全不同的问题,但是,除了应对更高的流量和更好地隔离零日数据包级攻击(这种情况非常罕见)之外,它没有做任何你不应该使用 iptables / tc / iproute2 做的事情
此外,尽管最昂贵的设备可以提供 snort 所提供的那种保护,但没有一种设备能够提供使用 fail2ban 在软件中实现的功能。
答案4
我也同意你在这里是否需要 FW 的问题。我认为 FW 比其他任何东西都更像交通警察。你使用的服务应该已经具备一些功能,所以我认为你正在寻找一些 Web 应用程序保护。仅仅因为你的网站上没有任何 PII 并不意味着可以被黑客入侵。你应该研究一些基于云、软件即服务 (SaaS) 的网站和 Web 应用程序安全解决方案;xyberShield 和 FireEye。我对 xyberShield 了解得更多,但刚刚也查看了 FireEye 产品,它是一种反恶意软件产品。SaaS 模型提供了许多方法来根据你的产品需求扩展你的产品安全性。冗余、低延迟(因为你的站点上没有硬件)(至少使用 xyberShield)、处理稳健性和更新都在 SaaS 模型解决方案的后端处理。
了解这两种解决方案的优势的另一个重要方面是它们基于行为和基于签名。xyberShield 产品有一个非常时髦的先进行为分析关联引擎 (BACE),该引擎已经运行和学习了 4 年多,因此它所学到的任何东西都会立即应用到它的知识库中,并提供给它在全球范围内服务的所有客户。
最重要的是要明白,您可能需要使用多层次的产品和/或服务来满足网站和 Web 应用程序保护的特定需求。今天,您应该寻求将基于云的网站服务与基于云的安全解决方案相匹配。