Извечный вопрос. Я видел, что ответы идут в обоих направлениях, но никогда не дают исчерпывающего ответа о том, почему вы хотите, чтобы брандмауэры были активны в вашей доверенной сети. Когда я говорю «доверенный», я (обычно) имею в виду локальную сеть, которая уже находится за активным межсетевым экраном.
Я хотел бы иметь исчерпывающие причины, почему вам это нужно. Единственный аргумент, о котором я когда-либо слышал, заключается в том, что брандмауэры, неактивные в вашей доверенной сети, приводят к «хрустящей» системе безопасности, при которой нарушение «хрустящего жесткого» внешнего брандмауэра открывает доступ ко всем «мягким» внутренним машинам.
Я считаю, что наличие брандмауэров в сети - это хорошо по множеству причин.
Да, просто потому, что с брандмауэром на границе у вас есть единственная точка отказа. Если в этом брандмауэре есть ошибка, позволяющая обойти его, ваша безопасность потеряна.
Безопасность должна быть многоуровневым подходом, применяя безопасность на каждом уровне всякий раз, когда это возможно, или, по крайней мере, рентабельно, и соответствует уровню риска.
Как и во всех советах по безопасности, вы должны принять во внимание реальный риск, связанный с компрометацией вашей системы. Если все, что вы потеряете, - это некритический ящик без данных, это может не иметь большого значения. Если вы пытаетесь защитить государственные секреты, банковские счета или медицинскую информацию, вам нужно задействовать гораздо больше слоев.
Никогда не стоит недооценивать способность другого сотрудника принести из дома свой зараженный вирусами ноутбук и подключить его к вашей магистрали.
Запуск брандмауэра на внутреннем сервере позволяет вам контролировать, какие службы действительно используются, и предотвращает неправильное использование.
Например, у вас есть сервер Solaris, предназначенный только для использования в качестве сервера NFS. Затем однажды вы обнаруживаете, что некоторые пользователи обнаружили, что они могут подключаться к нему с помощью telnet / ssh / rsh / X, и начали выполнять на нем свои сейсмические задания ...
Один из способов взглянуть на это:
У вашей компании есть какая-то охрана периметра, верно? Т.е. калитка с забором и т. Д.
Думайте об этом как о своем основном брандмауэре.
Тем не менее, вы блокируете здания, вы блокируете части зданий и отдельные офисы и т. Д. Если у вас есть сканируемые значки, значки некоторых людей даже не позволяют им попасть в секции некоторых зданий, не говоря уже о отдельных офисах.
Каждый из этих заблокированных разделов похож на другой брандмауэр.
Если вы собираетесь использовать брандмауэры в качестве защиты, вам следует подумать о том, чтобы они изолировали разделы вашей сети друг от друга. Не следует думать, что пакет хорош только потому, что он находится внутри вашего периметра.
Ну, это зависит от того, насколько вы доверяете своей «доверенной» сети ... По умолчанию в очень классической сетевой конфигурации достаточно вашего сетевого края.
Допустим, у вас есть большие доверенные зоны со всеми вашими серверами web / client / nfs / .... Если кого-то взломают, он сможет получить доступ к каждому серверу, чтобы заразить их и посеять хаос в вашей сети.
Я твердо верю, что вам необходимо иметь VLAN для каждой функциональной группы (по одной для каждого клиента, для каждой веб-архитектуры), и все коммуникации из каждой VLAN необходимо фильтровать с помощью межсетевого экрана. Это позволяет вам изолировать с точки зрения безопасности все ваши функциональные группы и избежать краха всей вашей компании.
По опыту, предыдущая компания, в которой я работал, умерла именно по этой причине. Так что да, это полезно :-)
Я видел несколько развертываний межсетевых экранов внутри сетей для защиты одного хоста и лично знаком с двумя. В обоих этих случаях единственным защищаемым хостом была устаревшая операционная система, работающая в конфигурации, которая была «сертифицирована» и не могла быть изменена (одна по причинам соблюдения правовых норм, другая - для продолжения получения поддержки от поставщика).
Поскольку узлы предоставляли сети нежелательные службы (и поскольку в одном случае узел не предоставлял хороших средств ведения журнала для записи отдельных сеансов TCP - что хотел иметь заказчик) и поскольку конфигурации узлов были исправлены, мы выбрали для брандмауэра хостов с помощью специального устройства брандмауэра (в одном случае это Cisco PIX, а в другом - компьютер под управлением Linux, на котором запущен брандмауэр IPtables и служба прокси TCP).
Итак, если у вас есть устаревшие хосты, «застрявшие» в неоптимальной конфигурации, вы можете рассмотреть возможность развертывания брандмауэра только для их защиты.
Насколько ты большой? При определенном размере (который может быть разным) вам, вероятно, будет полезно отделить учетные записи, расчет заработной платы, кадровые и производственные серверы от неконтролируемого доступа со стороны остальной части компании. (Я бы хотел повысить себе зарплату. К сожалению, для некоторых людей это выходит за рамки желаемого.)
Я работаю консультантом по LAN, WLAN и безопасности.
Чаще всего этот вопрос возникает, когда требуется точка маршрутизации для новой VLAN / подсети.
Я определенно предпочитаю брандмауэр (конечно, если вы достаточно знаете, как управлять своим брандмауэром.
Это просто повышает безопасность и надежность.
Расплата, конечно, заключается в том, что межсетевой экран по тем же причинам имеет худшую производительность на доллар, чем маршрутизатор или коммутатор L3-маршрутизации.
Конечно, вы должны изолировать весь трафик, который обычно не имеет интенсивного трафика за пределами его VLAN: гостевой Интернет, инфраструктура от третьих сторон (HVAC, контроль доступа), DMZ, AP, VoIP, ...
Вопрос в трафике между стандартными клиентскими ПК и серверами. Если вы запускаете его через брандмауэр, следует учитывать пропускную способность. Также имейте в виду, что брандмауэр без IDP разрешает или блокирует определенные службы и не отслеживает, что происходит внутри этой конкретной службы.
Итак, здесь мы должны сбалансировать безопасность и инвестиции.
Прямо сейчас Juniper запускает новую серию брандмауэров с невероятной производительностью по разумной цене, которая позволяет заменить ядро маршрутизации брандмауэром маршрутизации. Взгляните на серию SRX. Этот брандмауэр SRX с пропускной способностью Gb не стоит дороже маршрутизирующего коммутатора достойной марки.
Мы запускаем брандмауэры на всех локальных рабочих станциях, где я работаю, и рассматриваем это как «хорошо», поскольку, как уже упоминалось ранее, какой-нибудь болван может принести персональный ноутбук, зараженный вирусом или червем, и передать его в доверенный 'корпоративная сеть.
Используя такое решение, как Symantec или McAfee, вы можете централизованно управлять наборами правил брандмауэра на всех клиентах, чтобы быстро реагировать на быстро распространяющегося червя (опять же, если вы быстро соображаете, вы также можете создать предустановленные правила. ACL для соединения коммутаторов и маршрутизаторов в вашей локальной сети, чтобы потенциально заблокировать распространение вредоносного кода, если вы знаете, как он проходит по сети.)
При этом имейте в виду, что вы МОЖЕТЕ столкнуться с проблемами приложения, когда вашим клиентам необходимо взаимодействовать с серверами на определенных портах и т. Д.
Подвести итоги; Брандмауэры на рабочих станциях XP, Vista и т.д. = хорошая вещь. Не развертывайте на серверах, если вы не готовы документировать и настраивать клиентов, подключающихся к приложениям.
Пакетный фильтр - это не «безопасность».
Комплексное решение определенно также будет фильтровать трафик во внутренней сети, но это не обязательно принимает форму межсетевого экрана с фильтрацией пакетов.
Запрещение, например, трафика между клиентами для замедления распространения червя может быть очень хорошей вещью, но лучше всего для этого нужно настроить его в ваших коммутаторах или - если это недоступно - просто зафиксировать все IP-адреса, не являющиеся серверами, на 0.0.0.0 в клиентский ARP-кеш.
Что касается входящих ноутбуков, может быть предпочтительнее просто предоставить им немаршрутизируемую WLAN, где они должны подключиться к VPN для доступа к прокси-серверу для сканирования вирусов, чем наличие фильтра пакетов между каждой сетью. Стандарт 802.11x, который допускает только стационарно установленные рабочие станции на портах коммутатора, может фактически обеспечить это и предыдущие пункты.
VLAN также делают больше, чем их доля, как в плане безопасности, так и производительности. Не всем нужно разговаривать со всеми, и если вы не переключаетесь / не маршрутизируете между ними в первую очередь, вам не нужно фильтровать.
Один из основных принципов безопасности - «минимум привилегий». Кому-то (или чему-то) нужен только минимальный доступ / информация, необходимая для выполнения их работы.
Если у вас есть база данных, доступная только для веб-сервера, зачем вам разрешать доступ к ней любому другому серверу в вашей сети? То же самое касается любой другой системы ...
Итак, вам нужен брандмауэр по периметру, а также брандмауэры на основе хоста в каждой системе (iptables, pf и т. Д.), Чтобы обеспечить более детальный контроль. Таким образом, если одна система будет взломана, атаке будет намного сложнее распространиться в вашей сети.
Кроме того, если у вас есть сегменты с разными разрешениями, вам также понадобится брандмауэр периметра или, по крайней мере, vlan (скажем, отделение HR-сети от dev, или DMZ от интрасети).
Так что да, однозначный ответ есть :)