这个问题相当概念性,我只需要一些澄清。
假设您在 Linux 服务器上安装了类似 ufw 的东西,或者在 Windows 服务器上安装了 Windows 防火墙。并且您在中间有多层网络设备,例如路由器,它们都有自己的防火墙。为什么您仍然需要硬件防火墙作为基础设施的一部分?
答案1
不久前,典型的设计强制所有流量通过一个大型防火墙作为安全控制。这是一个优势:通过位于互联网网关,网络团队可以实施安全控制,即使他们不管理每个设备。出于必要,这样的防火墙需要很大,并配备昂贵的定制硬件。
现在,可以根据威胁和重要性对流量进行分类,并分发数据包过滤器。也许可以将 YouTube 流量直接发送到互联网,这些流量已经加密,可能不是任务关键型流量。而在数据中心或云中,每个计算主机上的分布式防火墙可以扩大过滤器容量,从而实现更好的分段。两者都减轻了对外围庞大硬件防火墙的需求。
此外,商用硬件上的开源软件已将一些大型防火墙转变为软件产品。25 Gb 以太网很便宜,为什么不像其他服务一样在服务器上运行防火墙呢?供应商仍将销售硬件设备,尤其是大型设备,但他们的硬件具有魔力的说法可能不那么令人信服。
当然,您需要采用纵深防御方法来确保安全。需要考虑许多组件:端点安全代理、强大的用户身份验证、网络分段、传输中的加密数据、主机级防火墙、外围防火墙、更新所有东西上的软件。但防火墙中仅包含特殊 ASIC 这一事实并不一定能定义它。
答案2
在我看来,这是一个双重保障。硬件防火墙有助于阻止坏人进入您的网络。如果坏人确实进入了您的网络,UFW 等软件可以帮助您阻止他们进入您的服务器。通常,路由器首先是路由器,防火墙排在第二位。它们聊胜于无,但不能替代适当的防火墙。