同一网络中的多个边界防火墙

Question 1

在某些情况下，使用多重防火墙是一个好主意。

办公室使用和 Web 应用程序之间共享 Internet 连接

在当今多云天气中这种情况并不常见，但以托管在公司办公室的私有数据中心的 Web 应用为例。如果公司办公室的某个工作站被 Slammer 蠕虫攻击（举个古老的例子），那么所有流量都将通过共享互联网连接传出。

如果只有一个防火墙保护盈利性 Web 应用程序和公司的“午餐浏览”网络，那么像 Slammer 这样的公然网络滥用行为可能会导致防火墙出现 DoS 攻击。这会导致盈利性网站发生网络瘫痪事件。

如果使用两个防火墙，一个围绕 web 应用程序区域，另一个用于企业互联网内容，那么办公室防火墙将对自身进行 DoS 攻击，而 web 应用程序则会继续愉快地赚钱。

其次，这种防火墙可以防止内部的威胁；尽管这也可以通过足够先进的单片防火墙来实现。

好处：区域间基本故障隔离

多宿主网络：互联网+专网

在这种情况下，存在多个连接，一个 Internet 连接和一个私有网络。私有网络可能是物理层连接，也可能是通向 Amazon VPC 之类的 VPN 隧道。

完全有可能，私有网络连接（无论它是什么）无法在公司拥有的一个防火墙处终止。例如，Amazon VPC 连接有一些特定要求，可能会触发硬件购买。或者，一个防火墙只能有一个外部连接，而添加第二个稍微更可信的外部连接不在其功能范围内。在这些情况下，额外的防火墙可以帮助终止和保护添加的网络连接。

好处：提供原有设备所不具备的功能，信任区域之间的物理网络隔离。

多宿主网络：多个 Internet 连接

这与第一种情况的设置相同，但 Office 互联网有自己的与世界的连接。

在这种情况下，办公室互联网连接完全有可能终止于市中心办公室，而 Web 应用连接终止于郊区租用的数据中心。物理分离使两台设备成为一种简单的选择。数据中心和办公室之间可能有物理连接，也可能有站点到站点的 VPN。

无论哪种情况，多重防火墙都很有意义。

此外，如果办公室 ISP 是像 Comcast Business 这样速度较慢的 ISP，而数据中心 ISP 是具有 SLA 的非常快的 ISP，则数据中心连接将需要更强大的防火墙来跟上所有流量。

好处：增强区域之间的网络隔离，能够终止数据中心和办公室之间的站点到站点 VPN 连接

任意广播至单个站点

这是一个相当特殊的案例，但我能想到的唯一方法就是处理你所考虑的案例。在这种情况下，任播用于在互联网上设置多个点，这些点通过非常快速的网络连接连接到中心站点。更高级别的协议基于 TCP。

在这种情况下，防火墙将存在于公司网络的每个任播入口点的边界。多路径情况将需要：

端点改变网络位置足以导致其改变任播目的地（弹出开关）。
端点不会改变其 IP 地址。

在这种情况下，流量会从一条线路进入，并可能沿同一条线路离开，或者从路由表指定发送回复的任何地方退出。弹出交换机之后，流量会通过不同的线路进入，但回复可能会保持不变（除非路由表已更改）。

这里棘手的部分是，第二条线路前面的防火墙看不到连接设置，因此它对此一无所知。如果是状态防火墙，它很可能会立即拒绝它。但是无状态防火墙会放行流量。

地理IP

在这种情况下，多个站点使用 GeoIP 运行，以使服务更贴近客户。

为了得到你正在考虑的案例：

最终用户必须足够频繁地更改地理位置，以便 GeoIP 服务返回不同的 IP。
最终用户为更高级别协议的每个事务创建一个新的 TCP 连接。

这是最简单的情况。这只是新的 TCP 连接，每个 GeoIP 站点前面的防火墙会将每个连接视为新连接并允许它。提供服务的同一台服务器会将每个连接视为新的 TCP 连接并进行适当处理。在这样的设置中，源 NAT将在 GeoIP 站点防火墙上使用，以确保回复通过正确的路径发送。没有混乱，没有麻烦。

更高级别的协议是否可以处理此类连接取决于更高级别的协议。这根本不是防火墙问题。当然，除非防火墙在该特定协议中是有状态的，此时只要发生这样的混乱，这样的设置就会失败。

Answer

在某些情况下，使用多重防火墙是一个好主意。

办公室使用和 Web 应用程序之间共享 Internet 连接

在当今多云天气中这种情况并不常见，但以托管在公司办公室的私有数据中心的 Web 应用为例。如果公司办公室的某个工作站被 Slammer 蠕虫攻击（举个古老的例子），那么所有流量都将通过共享互联网连接传出。

如果只有一个防火墙保护盈利性 Web 应用程序和公司的“午餐浏览”网络，那么像 Slammer 这样的公然网络滥用行为可能会导致防火墙出现 DoS 攻击。这会导致盈利性网站发生网络瘫痪事件。

如果使用两个防火墙，一个围绕 web 应用程序区域，另一个用于企业互联网内容，那么办公室防火墙将对自身进行 DoS 攻击，而 web 应用程序则会继续愉快地赚钱。

其次，这种防火墙可以防止内部的威胁；尽管这也可以通过足够先进的单片防火墙来实现。

好处：区域间基本故障隔离

多宿主网络：互联网+专网

在这种情况下，存在多个连接，一个 Internet 连接和一个私有网络。私有网络可能是物理层连接，也可能是通向 Amazon VPC 之类的 VPN 隧道。

完全有可能，私有网络连接（无论它是什么）无法在公司拥有的一个防火墙处终止。例如，Amazon VPC 连接有一些特定要求，可能会触发硬件购买。或者，一个防火墙只能有一个外部连接，而添加第二个稍微更可信的外部连接不在其功能范围内。在这些情况下，额外的防火墙可以帮助终止和保护添加的网络连接。

好处：提供原有设备所不具备的功能，信任区域之间的物理网络隔离。

多宿主网络：多个 Internet 连接

这与第一种情况的设置相同，但 Office 互联网有自己的与世界的连接。

在这种情况下，办公室互联网连接完全有可能终止于市中心办公室，而 Web 应用连接终止于郊区租用的数据中心。物理分离使两台设备成为一种简单的选择。数据中心和办公室之间可能有物理连接，也可能有站点到站点的 VPN。

无论哪种情况，多重防火墙都很有意义。

此外，如果办公室 ISP 是像 Comcast Business 这样速度较慢的 ISP，而数据中心 ISP 是具有 SLA 的非常快的 ISP，则数据中心连接将需要更强大的防火墙来跟上所有流量。

好处：增强区域之间的网络隔离，能够终止数据中心和办公室之间的站点到站点 VPN 连接

任意广播至单个站点

这是一个相当特殊的案例，但我能想到的唯一方法就是处理你所考虑的案例。在这种情况下，任播用于在互联网上设置多个点，这些点通过非常快速的网络连接连接到中心站点。更高级别的协议基于 TCP。

在这种情况下，防火墙将存在于公司网络的每个任播入口点的边界。多路径情况将需要：

端点改变网络位置足以导致其改变任播目的地（弹出开关）。
端点不会改变其 IP 地址。

在这种情况下，流量会从一条线路进入，并可能沿同一条线路离开，或者从路由表指定发送回复的任何地方退出。弹出交换机之后，流量会通过不同的线路进入，但回复可能会保持不变（除非路由表已更改）。

这里棘手的部分是，第二条线路前面的防火墙看不到连接设置，因此它对此一无所知。如果是状态防火墙，它很可能会立即拒绝它。但是无状态防火墙会放行流量。

地理IP

在这种情况下，多个站点使用 GeoIP 运行，以使服务更贴近客户。

为了得到你正在考虑的案例：

最终用户必须足够频繁地更改地理位置，以便 GeoIP 服务返回不同的 IP。
最终用户为更高级别协议的每个事务创建一个新的 TCP 连接。

这是最简单的情况。这只是新的 TCP 连接，每个 GeoIP 站点前面的防火墙会将每个连接视为新连接并允许它。提供服务的同一台服务器会将每个连接视为新的 TCP 连接并进行适当处理。在这样的设置中，源 NAT将在 GeoIP 站点防火墙上使用，以确保回复通过正确的路径发送。没有混乱，没有麻烦。

更高级别的协议是否可以处理此类连接取决于更高级别的协议。这根本不是防火墙问题。当然，除非防火墙在该特定协议中是有状态的，此时只要发生这样的混乱，这样的设置就会失败。

Question 2

拥有多个防火墙可能很有价值。特别是当它们处理非常不同的任务时。检查日志和发现可疑的网络流量可能更容易。

我们可以将其与普通的杂货店进行比较。您有一个仅供员工使用的入口，安全性高，所有活动都记录在案。然后您有一个对所有人开放的主入口，没有安全性，没有或很少有日志记录。

然而，这一切都归结于网络设计。两个独立的防火墙可能有用，也可能没用。我管理的网络确实为每个接入点配备了一个单独的防火墙，因为我们网络的安全级别从公开到“绝密”，试图让一个防火墙同时处理所有这些将是一场噩梦。

Answer

拥有多个防火墙可能很有价值。特别是当它们处理非常不同的任务时。检查日志和发现可疑的网络流量可能更容易。

我们可以将其与普通的杂货店进行比较。您有一个仅供员工使用的入口，安全性高，所有活动都记录在案。然后您有一个对所有人开放的主入口，没有安全性，没有或很少有日志记录。

然而，这一切都归结于网络设计。两个独立的防火墙可能有用，也可能没用。我管理的网络确实为每个接入点配备了一个单独的防火墙，因为我们网络的安全级别从公开到“绝密”，试图让一个防火墙同时处理所有这些将是一场噩梦。

Question 3

我们为所有客户使用 Debian，并将网关设置为多主机，并使用 IPTABLES 锁定流量。您可能认为这有点难以理解，但我知道这在我所在的行业中被广泛使用。使用 IPTABLES，您可以真正了解可以允许的流量。但是问题是它可能存在连接限制和吞吐量问题。在服务器上绑定网卡可能会有所帮助。因此，优点是它便宜且功能强大，但缺点是您可能会发现 Linux 机器可以处理的连接数量存在瓶颈。检查一下 -iptables-规则示例- 非常有助于了解如何使用 IPTABLES 设置明确的防火墙规则。此外，您还可以使用 vrf 和 HA 网关 - 这些在 CentOS 6.3 中均可用-centos6.3 高可用性

Answer

我们为所有客户使用 Debian，并将网关设置为多主机，并使用 IPTABLES 锁定流量。您可能认为这有点难以理解，但我知道这在我所在的行业中被广泛使用。使用 IPTABLES，您可以真正了解可以允许的流量。但是问题是它可能存在连接限制和吞吐量问题。在服务器上绑定网卡可能会有所帮助。因此，优点是它便宜且功能强大，但缺点是您可能会发现 Linux 机器可以处理的连接数量存在瓶颈。检查一下 -iptables-规则示例- 非常有助于了解如何使用 IPTABLES 设置明确的防火墙规则。此外，您还可以使用 vrf 和 HA 网关 - 这些在 CentOS 6.3 中均可用-centos6.3 高可用性

同一网络中的多个边界防火墙

答案1

答案2

答案3

相关内容