z0l*_*pka 10 networking security linux firewall linux-networking
在网上查了一些资料,发现透明防火墙的优点只有两个:
但这看起来有点不完整,而且可能毫无根据。看来供应商(或开源伙伴)应该有一些更好的理由来实现这样的模式,并让客户购买(使用)这个功能。
据我所知最大的原因是什么?ipv6。提出 IPv6 的很大一部分原因是为了解决 IPv4 的地址耗尽问题并摆脱 nat 的“丑陋黑客”。由于 IPv4+NAT 的组合,太多人自动认为防火墙== nat,但事实并非如此。几乎所有的防火墙都可以做NAT,但并不是所有的NAT解决方案都可以做防火墙。
IPv6 假定网络是非屏蔽的,这会给习惯于一切都被屏蔽的人们带来一些问题。在 IPv6 网络中,假设“公共”IPv6 地址不能保证可路由性,则会安全得多。
但这不仅仅是 IPv6。我以前工作的大学有 /16 IPv4 分配。他们的桌面上有“公共”IP 地址。然而它们仍然受到防火墙的保护,因为我们的防火墙工作在“透明”模式下。我们有地址空间,为什么不呢?它还使某些用例更容易处理,而无需玩 NAT 端口转发和公共 IP 分配游戏。
如果您对透明的定义意味着 L2 安全服务,那么即使在 IPv4 网络中,这些用例也很常见。
这些系统是主要公共云提供商网络安全的核心。您定义允许/拒绝规则列表,并将它们应用于资源。在 AWS 中,这是 EC2 实例、Lambda 或其他服务的接口。防火墙不像 iptables 那样存在于盒子上,而是存在于虚拟机下方。这使其成为透明的 L2 设备。
| 归档时间: |
|
| 查看次数: |
2530 次 |
| 最近记录: |