我正在开发一个需要两台计算机之间连接的系统。我决定通过直接以太网电缆将两台机器连接在一起。
我的老板不喜欢它,因为中间没有防火墙。两台计算机都连接到不同的公司网络。电缆实际上会连接这两个网络,带来安全隐患
然后我的老板决定我们购买一台 CISCO 防火墙来连接这两台机器。我告诉他为什么不使用 Windows 防火墙?那样不是就足够了吗?答案是:它不是标准的!
是否存在任何特定标准可以降低 Windows 防火墙的级别?
谢谢
答案1
无论是否有思科防火墙,如果我在未经网络所有者知情和明确许可的情况下交叉连接两个公司网络,我就会陷入严重的困境。
所以你需要做的是让这些方参与进来。如果要通过他们的网络进行,那么他们需要进行讨论:
步骤1。 确定上述两个公司网络的所有者。我的意思是,找出负责这两个网络的首席工程师是谁。
第2步。 给他们写一封电子邮件,解释你想要做什么以及为什么这样做,并询问这是否有任何影响。
步骤3. 未经对方网络所有者的明确许可,请勿做任何事情。
步骤4。 当你获得两个都你可以开始弄清楚如何将它们连接起来。事实上,两个网络所有者现在都应该能够就如何做到这一点向你提供建议。
答案2
在这种情况下,选择 ASA(或其他东西)而不是 Windows 防火墙的原因极其不清楚。
适当的做法是评估是否存在任何原因导致数据不应该从(交叉)电缆一侧的节点流向另一侧的节点。
答案是两个极端之间的连续体:
- 两台计算机均未连接互联网,且两台计算机均由同一人出于相同目的使用,并且受到同等信任。在这种情况下,任何类型的防火墙都可能是徒劳的。
- 一台计算机是 DMZ 中可公开访问的节点,另一台计算机连接到处理特权信息的网络。在这种情况下,如果必须建立连接,强烈建议使用防火墙。
不知道自己处于这个连续体中的哪个位置,很难给出一个合适的答案,但思考一下可能会帮助你找到答案。很明显,你处于中间某个位置,但你应该弄清楚你想在两个网络之间隔离什么,以及为什么它们是分开的。“我想隔离连接”通常不是这个问题的充分答案。
为什么人们更喜欢某种类型的防火墙,最好的理由是存在中央配置管理基础架构(或专注于业务专业知识)以及需要其中一个中提供但另一个中没有的特定功能。如果没有这样的理由(可能存在这样的理由),您得到的方向可能是错误的。
公共标准强制或禁止使用特定品牌的防火墙是荒谬的。但是,内部标准和合同标准可能会规定这样的事情。
在这种情况下,人们的担忧可能更多是商业方面的,而非技术方面的。
答案3
除了您可能能够在 CISCO 设备上设置的一些额外选项之外,软件防火墙和 CISCO 防火墙之间没有很大的逻辑区别。
仅为了连接两台主机而购买 CISCO 防火墙有点大材小用。建议使用其他品牌,或者将该计算机连接到防火墙并将流量路由到您的计算机,而不是直接路由到您的计算机。