Мне было интересно, сможет ли кто-нибудь рассказать о преимуществах аппаратного межсетевого экрана по сравнению с использованием iptables непосредственно на веб-сервере.
Я оцениваю экономическую эффективность использования выделенного межсетевого экрана только для одной производственной системы.
Помимо (возможных) проблем с производительностью, следует иметь в виду, что если ваш брандмауэр не находится на том же сервере, что и тот, который он защищает, если кто-то делает получить доступ к веб-серверу, они по-прежнему не могут работать с брандмауэром, то есть они не могут изменить ваши исходящие правила и т. д.
Также можно настроить отдельный брандмауэр, чтобы любой способ доступа к нему через сеть, что опять же увеличивает его защиту от несанкционированного доступа.
Имейте в виду, что это также верно и для программного брандмауэра, который представляет собой отдельную коробку, он не обязательно должен быть аппаратным.
Если реле не щелкает, это всегда программный брандмауэр. Вы просто надеетесь, что программа настолько непонятна, что никто не знает, как ее взломать.
У меня было много межсетевых экранов Linux на базе IPTables, Cisco PIX и готовые потребительские коробки. Из всех брандмауэров Linux меньше всего проблем с перезагрузкой. У большинства из них время безотказной работы превышает 2 года. Я стараюсь, чтобы батареи ИБП разряжались до того, как системе потребуется перезагрузка.
05:35:34 до 401 день, 4:08, 1 пользователь, средняя нагрузка: 0,02, 0,05, 0,02 Я заменил ИБП 401 день назад.
Из 30 межсетевых экранов Cisco PIX 3 вышли из строя через 2 года, а 5 приходилось перезагружать каждые 2 месяца или около того.
Большим преимуществом «аппаратных» межсетевых экранов часто является компактный размер и отсутствие движущихся частей.
Я бы использовал аппаратный брандмауэр, если вы пытаетесь защитить сегмент сети в целом, и программный брандмауэр, если вы пытаетесь защитить конкретное приложение. Оборудование защищает ваше пространство от злоумышленников за пределами вашей общей среды, а программное обеспечение защищает определенную функцию даже от других частей вашей среды.
Тем не менее, в этом случае вы защищаете один ящик, поэтому я бы просто использовал программное обеспечение. Падение производительности не должно быть слишком сильным до тех пор, пока вы в любом случае не будете рассматривать более одного веб-сервера, и в этом случае вам нужно будет посмотреть на аппаратный маршрут.
И да, как отмечалось в другом месте, аппаратные брандмауэры в целом более надежны. Кроме того, сложнее настроить и держать прямо, если вам нужно часто их изменять. Замечания, касающиеся повышенной безопасности подозрительного трафика на устройстве, отдельном от веб-сервера, сделаны хорошо, но я считаю, что общее повышение безопасности не оправдывается дополнительными затратами на уровне одного сервера. (за некоторыми заметными исключениями). Зрелый программный брандмауэр, легко настраиваемый на регулярно обслуживаемом сервере, на котором нет других служб, кроме тех, которые необходимы для его веб-функциональности, в наши дни должен быть стабильным и безопасным. Или, по крайней мере, так будет до тех пор, пока вы не начнете получать эксплойты переполнения буфера, проходящие через HTTP-трафик, который брандмауэр все равно не поймает.
Об этом уже говорилось - но если вы имеете дело только с ОДНОЙ производственной коробкой, и это единственная производственная коробка, которую вы собираетесь иметь в этой среде в обозримом будущем, и это не коробка, которая должна будет соответствовать каким-либо нормативным требованиям ( PCI и т. Д.) - тогда просто фильтрация на хосте должна быть в порядке.
Вы не упоминаете избыточность или что-то в этом роде, так что это, вероятно, излишнее.
Я собирался сказать, что если у вас есть на это бюджет, все равно получите отдельную коробку в качестве брандмауэра (это не неправильно ...) - но ИМО, вы бы добавили дополнительную часть оборудования, чтобы сломать - так что, если нагрузка не проблема, и вы не развертываете отказоустойчивую установку, голый сервер сам по себе не требует брандмауэра.
На мой взгляд, решение - это OpenBSD. Иметь выделенное оборудование под управлением OpenBSD. Там вы можете настроить брандмауэр и прочее.
Это более безопасно, поскольку брандмауэр ObenBSDs работает в пространстве ядра, тогда как iptables на Linux-машине работает в пользовательском пространстве.