我目前正在分析多路径连接对防火墙的影响。在这种情况下,我想知道在网络边界设置多个防火墙来保护网络是否真的很少见。我想象的典型情况是多宿主网络,管理员会对来自不同(或非)ISP 的链接制定不同的策略。或者甚至在 ISP 的网络中。
这种配置的实际优势(劣势)是什么?您能否提供一个使用多个边界防火墙的现有拓扑结构的示例?
编辑:特别是,我对一个内部终端主机可以使用防火墙的任何路径的配置感兴趣。配置的目的不是将内部区域彼此隔离。实际上,我的目标是了解防火墙如何影响可能使用多条路径(同时)的协议以使其正常工作。
答案1
在某些情况下,使用多重防火墙是一个好主意。
办公室使用和 Web 应用程序之间共享 Internet 连接
在当今多云天气中这种情况并不常见,但以托管在公司办公室的私有数据中心的 Web 应用为例。如果公司办公室的某个工作站被 Slammer 蠕虫攻击(举个古老的例子),那么所有流量都将通过共享互联网连接传出。
如果只有一个防火墙保护盈利性 Web 应用程序和公司的“午餐浏览”网络,那么像 Slammer 这样的公然网络滥用行为可能会导致防火墙出现 DoS 攻击。这会导致盈利性网站发生网络瘫痪事件。
如果使用两个防火墙,一个围绕 web 应用程序区域,另一个用于企业互联网内容,那么办公室防火墙将对自身进行 DoS 攻击,而 web 应用程序则会继续愉快地赚钱。
其次,这种防火墙可以防止内部的威胁;尽管这也可以通过足够先进的单片防火墙来实现。
好处:区域间基本故障隔离
多宿主网络:互联网+专网
在这种情况下,存在多个连接,一个 Internet 连接和一个私有网络。私有网络可能是物理层连接,也可能是通向 Amazon VPC 之类的 VPN 隧道。
完全有可能,私有网络连接(无论它是什么)无法在公司拥有的一个防火墙处终止。例如,Amazon VPC 连接有一些特定要求,可能会触发硬件购买。或者,一个防火墙只能有一个外部连接,而添加第二个稍微更可信的外部连接不在其功能范围内。在这些情况下,额外的防火墙可以帮助终止和保护添加的网络连接。
好处:提供原有设备所不具备的功能,信任区域之间的物理网络隔离。
多宿主网络:多个 Internet 连接
这与第一种情况的设置相同,但 Office 互联网有自己的与世界的连接。
在这种情况下,办公室互联网连接完全有可能终止于市中心办公室,而 Web 应用连接终止于郊区租用的数据中心。物理分离使两台设备成为一种简单的选择。数据中心和办公室之间可能有物理连接,也可能有站点到站点的 VPN。
无论哪种情况,多重防火墙都很有意义。
此外,如果办公室 ISP 是像 Comcast Business 这样速度较慢的 ISP,而数据中心 ISP 是具有 SLA 的非常快的 ISP,则数据中心连接将需要更强大的防火墙来跟上所有流量。
好处:增强区域之间的网络隔离,能够终止数据中心和办公室之间的站点到站点 VPN 连接
任意广播至单个站点
这是一个相当特殊的案例,但我能想到的唯一方法就是处理你所考虑的案例。在这种情况下,任播用于在互联网上设置多个点,这些点通过非常快速的网络连接连接到中心站点。更高级别的协议基于 TCP。
在这种情况下,防火墙将存在于公司网络的每个任播入口点的边界。多路径情况将需要:
- 端点改变网络位置足以导致其改变任播目的地(弹出开关)。
- 端点不会改变其 IP 地址。
在这种情况下,流量会从一条线路进入,并可能沿同一条线路离开,或者从路由表指定发送回复的任何地方退出。弹出交换机之后,流量会通过不同的线路进入,但回复可能会保持不变(除非路由表已更改)。
这里棘手的部分是,第二条线路前面的防火墙看不到连接设置,因此它对此一无所知。如果是状态防火墙,它很可能会立即拒绝它。但是无状态防火墙会放行流量。
地理IP
在这种情况下,多个站点使用 GeoIP 运行,以使服务更贴近客户。
为了得到你正在考虑的案例:
- 最终用户必须足够频繁地更改地理位置,以便 GeoIP 服务返回不同的 IP。
- 最终用户为更高级别协议的每个事务创建一个新的 TCP 连接。
这是最简单的情况。这只是新的 TCP 连接,每个 GeoIP 站点前面的防火墙会将每个连接视为新连接并允许它。提供服务的同一台服务器会将每个连接视为新的 TCP 连接并进行适当处理。在这样的设置中,源 NAT将在 GeoIP 站点防火墙上使用,以确保回复通过正确的路径发送。没有混乱,没有麻烦。
更高级别的协议是否可以处理此类连接取决于更高级别的协议。这根本不是防火墙问题。当然,除非防火墙在该特定协议中是有状态的,此时只要发生这样的混乱,这样的设置就会失败。
答案2
拥有多个防火墙可能很有价值。特别是当它们处理非常不同的任务时。检查日志和发现可疑的网络流量可能更容易。
我们可以将其与普通的杂货店进行比较。您有一个仅供员工使用的入口,安全性高,所有活动都记录在案。然后您有一个对所有人开放的主入口,没有安全性,没有或很少有日志记录。
然而,这一切都归结于网络设计。两个独立的防火墙可能有用,也可能没用。我管理的网络确实为每个接入点配备了一个单独的防火墙,因为我们网络的安全级别从公开到“绝密”,试图让一个防火墙同时处理所有这些将是一场噩梦。
答案3
我们为所有客户使用 Debian,并将网关设置为多主机,并使用 IPTABLES 锁定流量。您可能认为这有点难以理解,但我知道这在我所在的行业中被广泛使用。使用 IPTABLES,您可以真正了解可以允许的流量。但是问题是它可能存在连接限制和吞吐量问题。在服务器上绑定网卡可能会有所帮助。因此,优点是它便宜且功能强大,但缺点是您可能会发现 Linux 机器可以处理的连接数量存在瓶颈。检查一下 -iptables-规则示例- 非常有助于了解如何使用 IPTABLES 设置明确的防火墙规则。此外,您还可以使用 vrf 和 HA 网关 - 这些在 CentOS 6.3 中均可用-centos6.3 高可用性