小智 6
所有防火墙都是软件。
...是一个物理上独立的实体,使用专用硬件。由于它们是专用设备,因此最大限度地减少了硬件和软件,以使其更加安全。可利用的越少,被利用的机会就越少……
具有成本效益的替代方案是设置 *nix/BSD 框,使用:
我建议使用 OpenBSD 和 PacketFilter (PF),假设它仍然是最新的。否则看看 Linux 的 IPTables。
当您从供应商处购买硬件防火墙时,您得到的是一个交钥匙解决方案。您将其拆箱、插入、登录并配置您需要的规则。如果有更新,则应用补丁/固件。您将获得一个不错的 Web 界面 GUI。但是现在,像DD-WRT这样的软件在你的路由器/防火墙上提供了同样的东西......
...驻留在主机本身。因为它们必须可供用户访问,所以可以随意关闭它们(允许的权限)。并且由于它们驻留在为用户量身定制的操作系统上,因此提供了更多服务——增加了利用/规避的可能性。
...您将采用“洋葱”防御:通过在网络中的每个主机上同时安装硬件防火墙和软件防火墙,您可以实现多层安全。