Я рассматриваю возможность покупки устройства балансировки нагрузки F5, которое будет проксировать входящие HTTP-соединения на один из пяти веб-серверов в моей внутренней сети. Я предполагал, что внешний интерфейс F5 будет обращен к Интернету, а внутренний интерфейс будет обращен к внутренней сети, в которой находятся веб-серверы. Тем не менее, несколько иллюстраций, которые я вижу в Интернете, изображают устройство F5. позади брандмауэр. Такое расположение приведет к тому, что дополнительный трафик будет проходить через брандмауэр, а также сделает брандмауэр единственной точкой отказа, верно?
В чем смысл этой конфигурации?
Я бы подумал, что это самоочевидно: по той же причине, по которой вы что-то закрываете брандмауэром.
Я считаю классическим:
Firewall <-> Load Balancer <-> Web Servers <-> ...
в основном это пережиток эпохи дорогих аппаратных межсетевых экранов. Я реализовал такие схемы, поэтому они работают, но усложняют всю настройку. Чтобы исключить единые точки отказа (и, например, разрешить обновление брандмауэра), вам необходимо распределить трафик между двумя брандмауэрами и двумя балансировщиками нагрузки (с использованием ячеек уровня 2 или правильной маршрутизации уровня 3).
В публичных облаках обычно реализовывают что-то вроде:
Load Balancer <-> [ (firewall + web) ] <-layer 2 domain or ipsec/ssl-> [ (firewall + app/db) ]
что, честно говоря, достаточно хорошо.
Рад видеть обсуждение этой темы.
Я бы не сказал, что через этот межсетевой экран проходит какой-либо «лишний» трафик.
Если у вас есть 5000 входящих запросов и вы отправляете даже 1000 запросов на каждый сервер, то это не больше запросов, обслуживаемых брандмауэром, чем если бы вы отправили 5000 запросов на один сервер или если бы вы поместили брандмауэр за F5 (все 5000 запросов все еще должны пройти через этот брандмауэр в какой-то момент, иначе они вообще не находятся в «частной» сети).
Но это правда, что брандмауэр - это единственная точка отказа, но если вы вкладываете средства в бюджет, чтобы купить один F5, хорошо, тогда F5 также становится единой точкой отказа.
Если вы собираетесь настроить полностью избыточную систему, вам понадобятся два F5 в активном / пассивном HA-кластере, а затем у вас будет два межсетевых экрана, также в активном / пассивном HA-кластере.
Они могут быть изображены одним изображением в документации F5, но это потому, что он просто показывает логический вид брандмауэра (есть одно устройство, обслуживающее все запросы), а не физическую настройку (два устройства, одно из которых находится в режиме ожидания высокой доступности). .
Еще одна причина разместить балансировщик нагрузки за пограничным брандмауэром заключается в том, что балансировщик нагрузки может не быть защищен от сети по умолчанию (возможно, у него есть уязвимости в интерфейсах управления, возможно, у него есть разрешение по умолчанию, кто знает). Поместив его за брандмауэр и проделав только дыры для общедоступных портов, вы значительно снизите риск того, что уязвимая подсистема балансировки нагрузки будет открыта для доступа в Интернет.
Смысл в том, чтобы брандмауэр защищал веб-серверы. В этом случае задача балансировщиков нагрузки - убедиться, что веб-серверы не являются единой точкой отказа, и сбалансировать нагрузку между ними. Если есть только один брандмауэр, он считается единственной точкой отказа.
Обычно вам нужно, чтобы ваш балансировщик нагрузки и веб-серверы находились в DMZ (демилитаризованной зоне). Доступ к DMZ из внутренних и внешних сетей должен контролироваться межсетевым экраном. Если балансировщик нагрузки находится перед брандмауэром, он не может сбалансировать обе эти нагрузки.
Как уже писали другие, и брандмауэр, и балансировщик нагрузки будут единственной точкой отказа, если у вас нет избыточного оборудования.
Откровенно говоря, это сделано для того, чтобы успокоить специалистов по безопасности, которым просто необходим отдельный брандмауэр. Модуль bigip asm может заменить межсетевой экран. объедините это с политиками брандмауэра и ipsec на серверах и брандмауэром позади, и вы получите безопасную систему.
Недоверие, inet, касается только межсетевого экрана, который затем пропускает только определенный трафик.
Все остальное находится за брандмауэром.
Вот как это делается. Брандмауэр считается «жестким» и безопасным для недоверия. Все остальное считается нуждающимся в приюте ...
Обычно реализации безопасности рассматривают как набор отдельных уровней безопасности, часто называемых многоуровневой моделью безопасности.
Проще говоря, каждый уровень безопасности, который необходимо преодолеть, способствует дополнительному сопротивлению проникновению - каждый уровень увеличивает общую сложность, при которой злоумышленник может получить несанкционированный доступ.
Мне всегда казалось вполне разумным иметь возможности обнаружения, предотвращения и фильтрации на границе Интернета по любому количеству причин - и в контексте многоуровневой безопасности я думаю, что имеет смысл иметь брандмауэр, проверяющий пакеты, в качестве первой линии защита - такое устройство имеет дополнительный бонус в виде возможности защиты от атак, направленных на ADC или другое сетевое оборудование, подключенное к Интернету.
В качестве примера, чтобы проиллюстрировать мою точку зрения; Подумайте, как внешний (пограничный) брандмауэр хорошо расположен для проверки соответствия протоколу до того, как трафик будет разрешен в вашу сеть, то есть до того, как он может быть передан потенциально уязвимым устройствам. Брандмауэр также может искать вариации и шаблоны в трафике, которые соответствуют техническим спецификациям, но отклоняются от типичного использования или общепринятой практики - это увеличивает вероятность обнаружения скрытых потоков данных, попыток обойти контрольные точки или даже новых средств для контрабанды запросов.
Типичный, хотя и несколько упрощенный дизайн Web / SaaS может выглядеть примерно так:
При необходимости к каждому отдельному компоненту можно добавить избыточность.
Лично я предпочитаю локальное резервирование для брандмауэров (например, 2 узла на брандмауэр на сайт), даже если балансировщики нагрузки развернуты для обеспечения глобальной высокой доступности или аварийного переключения сайта (требуется только один Big-IP на сайт).
BIG-IP - это межсетевой экран, сертифицированный ICSA. Для случаев использования входящего трафика в центр обработки данных имеет смысл использовать BIG-IP в качестве межсетевого экрана. Платформа BIG-IP обычно масштабируется намного выше, чем другие коммерческие межсетевые экраны, и поддерживает разгрузку SSL для проверки содержимого. Как упомянул Джим Б., вы также можете добавить брандмауэр веб-приложений BIG-IP ASM для защиты веб-приложений.
Высокопроизводительный брандмауэр доставки приложений
http://www.f5.com/pdf/solution-profiles/high-performance-app-delivery-firewall-sp.pdf
Аарон