Есть ли веские причины для защиты выделенного сервера (в моем случае Windows 2008 R2) аппаратным брандмауэром? Какие проблемы безопасности лучше защищает аппаратный брандмауэр, чем встроенный программный брандмауэр?
Спасибо,
Адриан
Редактировать: Чтобы уточнить: я имею в виду сервер, на котором запущен веб-сайт SaaS, управляемый Micro-ISV, который используется клиентами на регулярной основе. Я не говорю о многомиллионном бизнесе.
2-е редактирование:: В моем случае загрузка сервера не является проблемой. Сервер никогда не загружается более чем на 20% ЦП или более чем на 50% памяти. Нет и централизованного администрирования - есть только один сервер Windows.
Очевидно, что «профессиональный уровень» не является официальным термином с определенными свойствами, но если мы предположим, что это обычно означает наилучшую конфигурацию, то да, по моему опыту, предпочтительнее использовать аппаратный брандмауэр. В то время как аппаратные и программные брандмауэры теоретически могут выполнять одни и те же функции, аппаратный брандмауэр позволяет переложить эту работу на выделенное устройство. Межсетевые экраны «профессионального уровня» также обладают функциями, которых нет у большинства программных межсетевых экранов, и позволяют осуществлять гораздо более продвинутое управление. Кроме того, любая конфигурация «профессионального уровня» обычно включает сильную поддержку со стороны поставщика, которая обычно лучше для аппаратных межсетевых экранов.
Отредактировано для добавления: В частности, он работает на выделенном оборудовании, поэтому он не снижает производительность ваших устройств. Он устанавливается на границе вашей сети, так что у вас есть подход «двери хранилища», отмеченный @jowqwerty. Он обеспечивает централизованное управление правилами брандмауэра, трансляциями NAT и т. Д. Для нескольких серверов. Он может допускать более сложные конфигурации NAT / PAT или другие опции, чем типичный программный брандмауэр. Обычно он имеет более сильную профессиональную поддержку со стороны поставщиков.
Если у вас только один сервер, я думаю, что можно полагаться на встроенный программный брандмауэр. если ты знаешь что делаешь.
Однако, когда у вас есть 2, 3, 4 ... 10 серверов, это становится довольно сложным в управлении, и вам лучше использовать аппаратный брандмауэр, которым вы можете управлять в одном месте.
(Тем не менее, вам все равно понадобятся программные и аппаратные брандмауэры для всей теории «глубокой защиты», так что вы не сможете отказаться от использования программных брандмауэров на каждом сервере в любом случае. По моему опыту, Windows Server 2008 и выше имеют отличные программные брандмауэры, и мы использовали их исключительно на Stack Overflow в течение 2 лет.)
«Аппаратные» брандмауэры - это просто выделенные устройства, на которых запущено программное обеспечение брандмауэра. На самом деле они не реализованы исключительно аппаратно. Тем не менее, большинство аппаратных брандмауэров надежно защищены от скриптов, вредоносных программ и различных эксплойтов, которые могут существовать на полноценном ПК с Windows. Для дорогостоящих сайтов я бы никогда не поверил, что программное обеспечение Windows само по себе достаточно безопасно.
У нас нет брандмауэра, защищающего ни один из наших серверов. Вот почему:
Безопасность на основе хоста говорит о том, что любой открытый порт является потенциальной уязвимостью (включая, помимо прочего, порты, которые вы намеренно делаете общедоступными). Если на ваших серверах просто нет открытых портов, кроме тех, которые вы хотите сделать общедоступными, это почти такая же защита, как и брандмауэр. Единственное дополнительное преимущество брандмауэра заключается в том, что вы можете легко контролировать, каким IP-адресам в Интернете разрешен (или нет) доступ к другим общедоступным портам. Однако многие серверы в любом случае имеют эту функцию. Еще одно преимущество заключается в том, что аппаратный брандмауэр может быть настроен на использование только одного общедоступного IP-адреса для многих машин, что в основном используется в наши дни.
Кроме того, если есть открытые порты и запущенные серверы, не хотите сделать их общедоступными, потому что вы знаете, что они каким-то образом уязвимы (и, следовательно, нуждаются в защите отдельного брандмауэра), доктрина безопасности утверждает, что это небольшая защита от злоумышленников, потому что есть несколько способов обойти брандмауэр в любом случае. Допустим, у вас есть SSH или HTTP-сервер за брандмауэром и несколько уязвимых компьютеров с Windows в одной сети. Если кто-то взломает сервер, он получит доступ ко всей внутренней сети. Точно так же, если кто-то загрузит вирус, этот компьютер может атаковать ваш сервер изнутри сети.
Вам лучше использовать программное обеспечение межсетевого экрана на сервере и не возиться с "аппаратным" межсетевым экраном. То есть, если вам даже нужен брандмауэр для начала. Защитите свой веб-сервер так, чтобы единственное запущенное на нем программное обеспечение - это IIS, и только IIS будет уязвим для атаки. Что было бы правдой независимо от того, есть у вас брандмауэр или нет.
Отредактировано для добавления:
Я также изначально хотел указать, что аппаратный брандмауэр также добавляет в сеть единую точку отказа. Эта проблема также является одной из основных причин, по которой у нас нет брандмауэра, защищающего наши серверы. Хотя он централизует администрирование, он также централизует отключения, вызванные администрацией. Также стоит отметить, что все серверы работают под управлением Debian, а уязвимости в ядре и библиотеках исправляются в разумные сроки.
В то время как аппаратные брандмауэры гарантируют, что дыры не совпадают, злоумышленников в основном интересует, где дыры делать выровняйте: как в портах, которые специально открыты в брандмауэре. Если в предоставляемой вами услуге есть уязвимость, который там они будут атаковать. И пройдите через свой брандмауэр (-ы). И атакуйте остальную часть сети, ища более простые уязвимости, которые якобы защищал межсетевой экран.
К вашему сведению, с момента перехода на Debian и использования программного обеспечения Debsecan у нас не было эксплуатируемых серверов, за исключением нескольких учетных записей веб-почты, которые стали жертвами фишинговых атак.
Он должен быть за брандмауэром, но не большой разницы между типом. Аппаратный брандмауэр - это просто проприетарная ОС, обычно Linux встроенная в корпус и включающая соглашение о поддержке, которое предоставляет помощь, когда у вас есть вопросы по продукту. Все делают одно и то же, и если цена и / или поддержка не являются проблемой, любой из них будет работать нормально.
Безопасность бывает слоистой, как лук. Вам нужна как защита периметра, так и защита хоста, и все, что вы можете получить между и внутри защиты хоста (приложение и т. Д.).
Аппаратное обеспечение - это не то, о чем говорит большинство ответов, сегодня действительно иное, это просто программное обеспечение в форме устройства. Я бы без колебаний поставил Microsoft TMG на защиту периметра, а затем использовал встроенные межсетевые экраны для защиты хоста, но, как правило, возникает некоторое дополнительное ощущение безопасности (и повышенная нагрузка на обслуживание) за счет смешивания различных систем межсетевых экранов, таких как устройство Cisco и / или межсетевой экран периметра на базе Linux.
Чтобы быть педантичным: следует отметить, что некоторые высокопроизводительные коммерческие брандмауэры имеют специально разработанные микросхемы ASIC, которые выполняют часть работы в выделенном кристалле, а не на основном процессоре. Такие звери обычно не нужны, если вы не имеете дело с большим трафиком и большой криптовалютой. Как отмечали другие, при обычном использовании «аппаратный брандмауэр» означает устройство, на котором запущена минимизированная, усиленная ОС и программное обеспечение брандмауэра с контрактом на поддержку от поставщика.
К исходному вопросу: у всех сложных систем есть недостатки. Чтобы снизить риск эксплойта, мы создаем многоуровневые системы, чтобы дыры не совпадали.
Я знаю, что приду после того, как ответ будет принят, но я считаю, что вы тоже используете аппаратный брандмауэр. Даже в вашей ситуации брандмауэры аппаратного обеспечения низкого уровня (<1000 долларов США) вам пригодятся. Глубокая оборона - часть этого. Но отчасти это связано с тем, что в аппаратных межсетевых экранах есть специализированные микросхемы для обработки сетевой нагрузки. Это означает, что они лучше справляются с трафиком. Кроме того, позволяя брандмауэру обрабатывать всю ерунду (и если вы когда-нибудь поставите IDS на передний план, вы поймете, что я имею в виду под ерундой), вы выгружаете ее со своих серверов, тем самым позволяя им работать лучше. Их память и процессор не привязаны к недопустимому трафику. Аппаратный брандмауэр делает это за них. Кроме того, если вы можете заплатить немного больше, многие аппаратные брандмауэры поставляются со встроенными функциями IDS / IPS, что означает, что они могут предупредить вас, если что-то идет по трубе, что вызывает тревогу.
Вместо того чтобы думать о системном администраторе и сравнивать затраты на это, подумайте о нем как о деловом человеке и спросите: «Какова стоимость отсутствия аппаратного брандмауэра?» Что случится с вашим бизнесом, если ваши серверы отключатся на X часов? или данные украли? Сколько клиентов вы потеряете? что будет с вашей деловой репутацией?
Вы размещены в своем офисе или в дата-центре? Большинство центров обработки данных предлагают услугу аппаратного межсетевого экрана с резервированием / переключением при отказе / управлением за ежемесячную плату. Или получите собственный брандмауэр. Несколько лет назад мы купили маленький Cisco Pix примерно за 600 долларов, и это было здорово.