是否有任何令人信服的理由使用硬件防火墙保护专用服务器(在我的情况下为 Windows 2008 R2)?硬件防火墙比内置软件防火墙能更好地覆盖哪些安全问题?
谢谢,
阿德里安
编辑:澄清:我指的是运行由客户端定期使用的 Micro-ISV 运行的 SaaS 网站的服务器。我指的不是价值数百万的企业。
第二次编辑::在我的情况下,服务器负载不是问题。服务器永远不会以超过 20% 的 CPU 或超过 50% 的内存负载运行。集中管理也不是 - 只有一台 Windows 服务器。
显然,“专业级”不是具有明确属性的官方术语,但如果我们假设它通常表示最佳配置,那么是的,根据我的经验,硬件防火墙是首选。虽然硬件和软件防火墙理论上可以执行相同的功能,但硬件防火墙允许您将工作卸载到专用设备。“专业级”防火墙还具有大多数软件防火墙所没有的功能,并允许进行更高级的管理。此外,任何“专业级”配置通常都包括强大的供应商支持,这通常优于硬件防火墙。
编辑添加:更具体地说,它在专用硬件上运行,因此它不会从您的盒子中夺走性能。它设置在您的网络边界,以便您拥有@jowqwerty 指出的“金库门”方法。它为多个服务器提供防火墙规则、NAT 转换等的集中管理。与典型的软件防火墙相比,它可能允许更高级的 NAT/PAT 配置或其他选项。它通常具有更强的专业供应商支持。
如果您只有一台服务器,那么如果您知道自己在做什么,那么我认为依靠内置软件防火墙是可以的。
但是,当您拥有 2、3、4 ... 10 台服务器时,管理起来会变得相当复杂,您最好使用可以在一个地方进行管理的硬件防火墙。
(不过,对于整个“深度防御”理论,您仍然需要软件和硬件防火墙,因此无论如何您都无法摆脱在每台服务器上运行软件防火墙的束缚。根据我的经验,Windows Server 2008 及更高版本拥有出色的软件防火墙,我们专门在 Stack Overflow 上使用了 2 年。)
“硬件”防火墙只是运行防火墙软件的专用设备。它们实际上并不仅仅在硬件中实现。也就是说,大多数硬件防火墙都完全可以抵御脚本小子、恶意软件和可能存在于完整 Windows PC 中的各种漏洞。对于高价值站点,我永远不会相信 Windows 软件本身就足够安全。
我们没有防火墙来保护我们的任何服务器。原因如下:
基于主机的安全性表示任何开放端口都是潜在漏洞(包括但不限于您有意向公众提供的端口)。如果您的服务器没有任何开放端口,而是您希望向公众提供的端口,那么这几乎与防火墙为您提供的保护相同。防火墙带来的唯一额外好处是,您可以轻松控制互联网上的哪些 IP 地址允许(或不允许)访问其他公开可用的端口。但是,无论如何,许多服务器都内置了此功能。另一个好处是,可以将硬件防火墙配置为仅对多台机器使用一个公共 IP 地址——这正是它们目前所使用的主要地址。
另外,如果有开放端口和运行您的服务器不希望公开发布,因为你不知怎么知道他们是脆弱的(因此,需要单独的防火墙的保护),安全理论说,这对攻击者的保护很少,因为无论如何都有几种方法可以绕过防火墙。假设您在防火墙后面有一个 SSH 或 HTTP 服务器,并且在同一网络上有几台易受攻击的 Windows 机器。如果有人闯入服务器,他们就可以访问整个内部网络。同样,如果有人下载病毒,该计算机可能会从网络内部攻击您的服务器。
您最好在服务器上使用防火墙软件,而不要理会“硬件”防火墙。也就是说,如果您甚至需要防火墙。保护您的 Web 服务器,使其运行的唯一软件是 IIS,并且只有 IIS 容易受到攻击。无论您是否有防火墙,这都是正确的。
编辑添加:
我本来还想指出,硬件防火墙也会给网络增加单点故障。这个问题也是我们没有防火墙保护我们的服务器的主要原因之一。在集中管理的同时,它还集中了由管理引起的中断。还值得注意的是,所有服务器都运行 Debian,内核和库中的漏洞会在合理的时间内修补。
虽然硬件防火墙确保孔不排队,攻击者最感兴趣在孔做排队:就像是特意在防火墙上打开的端口。如果有在您提供的服务中的漏洞,那就是他们将攻击。并通过您的防火墙。并攻击网络的其余部分,寻找防火墙本应保护的更容易的漏洞。
仅供参考,自从切换到 Debian 并使用 Debsecan 软件以来,我们没有任何服务器被利用,除了一些成为网络钓鱼攻击受害者的网络邮件帐户。
| 归档时间: |
|
| 查看次数: |
3124 次 |
| 最近记录: |