那些遇到过的问题

您应该在网络边界内运行防火墙吗?

Ave*_*yne 5 security firewall

古老的问题。我已经看到对此的反应是双向的,但从来没有全面回答为什么要在受信任的网络中激活防火墙。当我说“受信任”时,我(通常)是指已经位于活动防火墙后面的 LAN。

我想有全面的理由来说明你为什么想要这个。我听说过的唯一一个论点是,在您的受信任网络中,防火墙处于非活动状态会导致“松脆”的安全安排,在这种情况下,破坏“松脆”的外部防火墙会暴露所有“软嚼”的内部机器。

Dom*_*c D 7

我认为出于各种原因,在网络中安装防火墙是一件好事。

  1. 保护您的敏感内部数据不被修改/窃取/删除。如果您公司的每个最终用户都可以通过网络访问您所有的生产数据库服务器,那么密码就可以保护您的数据。在某些情况下(sql 帐户与域帐户),整个开发人员对所有这些数据库都有写访问密码是很常见的。我所看到的大多数统计数据表明,与外部攻击者相比,您受到来自内部的攻击的可能性要大得多。心怀不满的员工可能会受到极大的激励。
  2. 保护您的敏感内部数据不被意外修改/删除。意外地将 Stage Web 服务器指向生产数据库服务器的情况比您想象的要频繁得多。如果您将 Prod DB 服务器设置为防火墙,以便只有 prod Web 服务器和 DBA 可以访问它们,则可以显着降低这种风险。
  3. 更强大的分层方法。您添加的合理安全层越多越好。有些人可能对此有点疯狂,但总的来说这是一个好主意。
  4. 随着您的网络越来越大,您需要保护自己。无论是恶意接入点还是笔记本电脑,几乎不可能 100% 确信您网络上的所有内容都符合您的安全策略。

Zor*_*che 6

是的,仅仅因为在边界只有一个防火墙,你就有一个单点故障。如果该防火墙存在允许绕过的错误,那么您的安全性就消失了。

安全应该是一种分层方法,只要有可能,就在每一层应用安全,或者至少具有成本效益,并且适合于风险级别。

与所有安全建议一样,如果您的系统遭到入侵,您应该考虑所涉及的实际风险。如果您丢失的只是一个没有数据的非关键框,那么它可能没有那么重要。如果您要保护国家机密、银行账户或医疗保健信息,则需要使用更多层。

Gar*_*ett 5

永远不要低估另一名员工从家里带来携带病毒的笔记本电脑并将其插入您的主干网的能力。

  • Antoine,我从来没有在一家公司工作过,每个员工都要在每个大楼入口处 24x7 全天候搜查行李。你?如果是这样,哇。 (2认同)

归档时间:

查看次数:

8267 次

最近记录:

16 年,5 月 前
相关归档
如何在 SSH 中删除严格的 RSA 密钥检查,这里有什么问题? 57
减慢通过 Linux 路由器的单个连接? 8
保护网络附加存储 7
是否值得聘请黑客在我的服务器上执行一些渗透测试? 6
在 unix 上隔离 ftp 服务器用户的安全方法是什么? 5
按应用程序跟踪带宽使用情况 5
Grokking 复杂的字典攻击 4
通过 WiFi 的 VPN 连接有多安全? 4
在工作中阻止 Facebook 的某些部分 2
从 PHP 以 sudo 的形式安全地执行系统命令 1
难疑归档
什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 1630
如何在 nginx 中强制或重定向到 SSL? 234
是什么导致“连接被拒绝”消息? 135
如果公钥身份验证失败,如何使 ssh 失败而不是提示输入密码? 131
如何在 ssh 上使用 sudo 运行任意复杂的命令? 83
多个数据中心和 HTTP 流量:DNS Round Robin 是确保即时故障转移的唯一方法吗? 81
使用 ansible 将用户添加到其他组 79
SSH 允许一个用户使用密码,仅允许使用公钥 69
使用 LDAP 的 SSH 密钥身份验证 69
有没有可以跟踪我拥有的所有域名的网站? 58