我正在设计一款将在 Raspberry Pi 上发布的商业应用程序。在某些情况下,Pi 将被放置在公司网络上,在其他情况下,它将位于家庭办公室路由器/防火墙后面。
该设备提供可从公共 Tor 网络访问的洋葱服务,以及仅可从本地网络内访问的经过身份验证的洋葱服务。我需要使用在 Pi 发货时已配置的防火墙来保护设备。
一种选择是在 Pi 上安装防火墙(或简单地配置 iptables)。或者,除了 Pi 之外,我还可以发送专用防火墙设备。(此设备可以是配置为防火墙的第二个 Pi,也可以是硬件防火墙)。
添加第二台设备有什么好处吗?它是否比将其与我的洋葱服务服务器结合提供更好的保护?
请注意,我的洋葱服务应用程序确实很小。它需要的磁盘空间和 CPU 能力极小。
编辑:
为了清楚起见,如果我使用第二台设备,那么我会将其与 Pi 本身一起打包到同一个盒子中。不需要网络管理员,因为 Tor 服务会在众所周知的 http/https 端口上启动所有通信。
答案1
大多数没有专职 IT 人员的公司无法自行安装您提议的防火墙。他们也不想花钱请外部人员来安装防火墙。如果您选择这种方式,您只会自找麻烦。
大多数拥有专门 IT 人员的公司不会在其环境中部署防火墙。
所以我的建议是你将防火墙构建到单个 Pi 中。
答案2
这只是我个人的看法,但我只会建议客户将设备安装在防火墙后面 -但不预装或提供。防火墙是完全不同的产品,听起来它与您的设备/产品没有直接关系。也许您可以做的是提供预配置的 Pi 防火墙作为单独的(“经认证可与您的设备配合使用”)产品。
您还可以指导客户如何配置防火墙以便与您的设备配合使用。