È utile lanciare più firewall al perimetro?

Attualmente sto eseguendo ISA 2004 e presto avrò in esecuzione una casella Untangle. Ho sempre sentito un po 'più sicuro mettere questi firewall software più avanzati dietro un muro di fissaggio muto (come i router di consumo di medio grado). Quindi, in pratica, faccio l'inoltro della port come necessario dal firewall hardware al firewall software che naturalmente ha una configuration più complessa.

Il modo in cui l'ho capito, alless mi protegge un po 'dall'apertura accidentale di qualcosa sul firewall software e, potenzialmente, dai guasti nel firewall software. Tuttavia, mi aiuta solo bloccando i porti al limite (beh, è ​​un po 'meglio di quello, ma non molto). Inoltre rende la configuration più complicata e è più difficile testare each sistema indipendentemente.

  • Come partizionare correttamente la cartella del blog sul sito Apache esistente
  • Tornando "200 OK" in Apache sulle richieste HTTP OPTIONS
  • Monitorare una session SSH in arrivo in tempo reale
  • Qual è il significato di "policy ACCEPT" e "policy DROP" in iptables?
  • Vulnerabilità di JBOSS
  • VPN - Man-in-the-middle quando si connette a un servizio https?
  • Devo fregare la scatola a buon mercato del router / firewall?

  • Vedendo le strane richieste IPv6 nel nostro firewall
  • Perché tutti i computer della mia networking hanno lo stesso indirizzo MAC?
  • Come interrompere i tentativi di logging su Asterisk
  • Come raccogliere i log con syslog-ng da server www in dmz e inviarli al server dietro il firewall (NAT). Può il proxy di Zabbix risolvere questo problema?
  • OpenVPN Access Server: la substring remota non può accedere alle risorse del client
  • In quali scenari sarebbe una VLAN non allineare 1: 1 con una substring?
  • 5 Solutions collect form web for “È utile lanciare più firewall al perimetro?”

    Personalmente, e questo è solo la mia opinione, non vedo molto logica nel farlo. Se si può commettere un errore su un firewall si può fare un errore su due. Se uno è dubbioso, due possono essere dubbiosi. Perché non tre, quattro o cinque allora?

    Vorrei piuttosto implementare un unico firewall di class enterprise che abbia un record di fiducia e comprovato e che abbia una persona indipendente, esperta e imparziale validationre la configuration e l'operazione per me e eseguire test di intrusione per me.

    È un po 'come l'antica affermazione: se una pillola è buona per me, due devono essere migliori, giusto?

    Da una prospettiva di sicurezza, è necessario valutare i rischi per l'ambiente. I dispositivi di catena sono potenzialmente più sicuri (a patto che siano tecnologie diverse), ma, come hai evitato, crea (molto) maggiore sovraccarico di manutenzione.

    Personalmente, se non sei un grande bersaglio e / o non vedo un alto volume di traffico, non credo che i vantaggi di sicurezza superino i costi di manutenzione superiori. Ancora una volta, dipende da quello che stai proteggendo e da quanto tempo si può permettere di scendere per se succede qualcosa e dovrai ribuild. È solo qualcosa che puoi calcolare.

    Da un punto di vista delle performance, che tipo di carico stai guardando? Uno dei problemi più importnti che ho visto quando i dispositivi a catena nella soluzione firewall sono i processi di elaborazione hardware in cui un dispositivo più piccolo soffoca tutta la cosa, perché non è in grado di elaborare le cose abbastanza velocemente.

    La ragione più grande è quella di avere più barriere di protezione. Le volatilità di un sistema non sono tipicamente presenti in un altro, per cui mette in atto una nuova variabile per affrontare un attaccante. Inizia ad andare a sud in fretta, ed è solo marginalmente vantaggioso quando si considerano cose come attacchi DoS contro il dispositivo di bordo estremo. Quando succede che tu sei avvitato finché non risolverai l'attacco.

    Nelle mie reti, uso un approccio multilivello. Questo di solito scende a un firewall esterno del bordo e quando si avvicina a varie macchine, più livelli, tra cui un firewall basato su host sulla maggior parte di essi.

    Quindi, mentre direi che è più utile un parametro, non credo che avere più di uno strato in ciascuno di questi parametri sarebbe più sicuro.

    È più probabile che aprirai le porte sbagliate in una configuration a catena. di solito quando c'è un problema con i firewall amministratori che iniziano ad aprire porte finché non funziona, quindi capisci cosa chiudere il backup. Con più firewall con operazioni di configuration multiple, sarà facile perdere qualcosa.

    Economico non significa necessariamente brutto. Ad esempio, un RouterStation Pro che esegue OpenWRT e Shorewall è un firewall molto capace … per US $ 79, escluso un caso e un iniettore di potenza. La cosa fondamentale è che dispone di un sistema operativo di qualità aziendale e abbastanza memory e CPU che non è probabile che colmano la networking. Utilizzando uno di questi ha senso, mentre un dispositivo consumer-grade che esegue il firmware di default non lo fa.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.