Я устанавливаю кучу серверов Ubuntu в колокационном центре. Они предлагают общий брандмауэр, но предложили мне самому установить брандмауэр на серверах, т.е. настроить iptables на каждой машине (они предложили APF, но я склоняюсь к использованию UFW).
Я почти уверен, что специальный брандмауэр будет более безопасным, поэтому я попросил их использовать общий брандмауэр.
Правильно ли я предполагаю, что специальный брандмауэр, управляемый профессионалами, был бы лучшим решением, чем то, что я могу управлять с помощью программного обеспечения?
Стоит ли устанавливать на серверах брандмауэр в дополнение к внешнему, или это излишний?
Имеет ли значение, является ли общий брандмауэр аппаратным устройством или просто Linux-сервером?
РЕДАКТИРОВАТЬ: Уточнено. Извини, это заняло у меня так много времени.
Я бы рекомендовал установить на серверах программный брандмауэр, например iptables, независимо от того, есть у вас аппаратный брандмауэр или нет. Чем больше у вас уровней защиты, будь то обеспечение большего количества стен для злоумышленника или предоставление большего количества мест, где кто-то может сделать что-то глупое, чтобы позволить злоумышленнику проникнуть, тем лучше.
Тем не менее, я обычно предпочитаю иметь и программный, и аппаратный брандмауэр. Однако, если это управляемый межсетевой экран, существует реальная проблема, связанная с навыками и быстродействием поставщика межсетевого экрана. Если им требуется неделя, чтобы открыть порт, и вы теряете из-за этого клиента, стоило ли оно того? Производитель, которого вы оцениваете, может быть отличным, это просто соображение, которое я хотел бы принять.
Так:
Является ли специализированный межсетевой экран, управляемый профессионалами, лучшим решением, чем то, что я могу управлять с помощью программного обеспечения?
Если это выбор один или другой, то в целом да. Позвольте профессионалам, которые сосредоточены на этой работе, позаботятся об этом за вас.
Стоит ли устанавливать на серверах брандмауэр в дополнение к внешнему, или это излишний?
Да. ЕДИНСТВЕННЫЙ недостаток - немного меньшая производительность на вашей машине. Положительным моментом является то, что если кому-то удастся взломать ДРУГОЙ компьютер внутри аппаратного брандмауэра, у вас все еще есть некоторая защита от плохого трафика внутри центра обработки данных.
В идеале сеть настроена так, что этого не может произойти, но это дороже и сложнее в хорошем обслуживании, поэтому вы не всегда можете полагаться на это.
Имеет ли значение, является ли общий брандмауэр аппаратным устройством или просто Linux-системой?
Большинство аппаратных брандмауэров - это Linux. Неважно, что используется - важно, кто реализовал сборку linux и насколько хорошо они в ней справляются. В выделенном аппаратном блоке, вероятно, больше времени и усилий потрачено на обеспечение безопасности сборки, и, вероятно, он встроен в устройство, поэтому его немного сложнее взломать и изменить удаленно, но кроме этого практической разницы нет.
-Адам
К сожалению, я все еще не могу здесь комментировать, поэтому я должен опубликовать это как отдельный ответ.
Я собираюсь встать на сторону Адама Дэвиса и сказать, что лучшим решением было бы сочетание того и другого - вы должны настроить ящик, служащий выделенным брандмауэром, и проверять соединения на самих серверах, так мы все равно это делаем. . Практически не требуется никаких усилий, чтобы ограничить доступ к серверам только адресами, которым вы доверяете (требуется несколько записей в iptables).
Что касается «выделенного брандмауэра» - почему-то люди склонны думать, что лучше всего это должен быть «аппаратный брандмауэр» (например, PIX, который был так популярен), что для меня не имеет смысла. , потому что это не какой-то "волшебный ящик", это, по сути, ПК, на котором запущены какие-то специализированные программное обеспечение. Если вы получите в руки такое устройство (PIX, ASA или аналогичный), это хорошо для вас, но вам все равно нужен профессионал для его настройки, оно не «просто работает». Лучше всего будет настроить специальный Linux (или bsd, на самом деле, это зависит от предпочтений) только для этого. Вам, конечно, все равно понадобится кто-то, кто поможет вам с аппаратным и программным обеспечением - в зависимости от сложности настройки брандмауэра, который вы ищете.
Я знаю, это немного не по теме, но я скажу вам следующее: что касается безопасности ваших серверов, НЕ бойтесь iptables. Я не знаю, есть ли в ubuntu вспомогательный инструмент для работы с iptables, но я бы сказал, избегайте его любой ценой. Понимание того, как работает обход цепочки в iptables, совсем не требует времени, а закрытие доступа к вашему серверу с определенных адресов или настройка простого NAT требует после этого всего нескольких (очень хорошо определенных) команд оболочки.
Вы должны использовать оба. Не имеет значения, является ли общий брандмауэр «аппаратным устройством» или общей ОС с программным обеспечением брандмауэра (большинство «аппаратных устройств» по-прежнему представляют собой обычную ОС с включенным программным обеспечением, поэтому особой разницы нет).
Локальный брандмауэр на машине сделает все возможное (в зависимости от того, как вы его настроите) для защиты как от локального, так и от внешнего трафика. Кроме того, общий брандмауэр поможет против внешнего трафика - и то, и другое сегодня следует считать обязательными в любой системе, поскольку их область действия различна. Локальный сервер немного помогает справиться с проблемой яичной скорлупы только с общим брандмауэром - то есть много зла может происходить из локальной сети случайно или нет.
Общий брандмауэр, скорее всего, разрешит еще меньше трафика - в то время как локальный брандмауэр хоста должен будет разрешать такие вещи, как подключения к серверам баз данных, кластеру и балансировке нагрузки, - которые не должны проходить через общий.
Я прокомментировал с просьбой прояснить вопрос ... в зависимости от любого редактирования я могу изменить этот ответ!
Правильно ли я предполагаю, что специализированный брандмауэр, управляемый профессионалами, был бы лучшим решением, чем то, что я могу управлять с помощью программного обеспечения?
Да. Я считаю, что выделенные брандмауэры лучше. Управляется профессионалами, как правило, намного лучше, если предполагается, что профессионалы компетентны и им можно доверять.
Стоит ли устанавливать на серверах брандмауэр в дополнение к внешнему, или это излишний?
Я неоднозначно отношусь к локальным программным брандмауэрам, если есть хороший (доверенный) внешний межсетевой экран. Другие не согласны с этим, и в отрасли наблюдается тенденция использования локальных межсетевых экранов в качестве уровня внутренней защиты в случае взлома внешнего межсетевого экрана. Вопрос в том, стоят ли административные усилия и риск того, что локальный брандмауэр вызовет проблемы, дополнительной защиты или осторожности. В среде без клиентов (т.е. коло) я бы так не подумал.
Имеет ли значение, является ли общий брандмауэр аппаратным устройством или просто Linux-системой?
Не уверен, что я понял вопрос ... многие (если не большинство) брандмауэров - это в основном оборудование ПК, работающее под управлением ОС Linux.
Брандмауэр - это программное обеспечение, независимо от того, реализовано ли оно поверх Linux, встроено в какое-либо оборудование или построено на ОС специального назначения. Linux - отличное решение для платформы брандмауэра, потому что его можно очень точно настроить и иным образом защитить.
Мое мнение об этом зависит от ситуации.
В вашем случае я бы рекомендовал использовать брандмауэр объекта colocation, чтобы защитить вас от внешнего мира, поскольку он предположительно управляется профессиональными сетевиками, которые знают, что делают. Кроме того, вы убережете свои машины от DoS-атак и других неприятностей в Интернете.
В то же время я тоже не доверяю сети коло. Используйте программный брандмауэр, чтобы контролировать, кто может подключаться по ssh, и предоставлять минимальный профиль другим хостам в сети поставщика colo.
Во внутренней, «доверенной» (ваша версия «доверенной» может отличаться) сети, я бы не стал использовать программные брандмауэры и вместо этого использовал бы вашу сетевую инфраструктуру для реализации контроля связи.
Если у вас есть хороший опыт управления брандмауэрами и сетевой маршрутизацией, то нет оснований полагать, что служба будет работать лучше. Если вы не хотите с этим возиться, позвольте им разобраться с этим.
Лично .... мне нравится идея, что я могу искажать свои пакеты в любое время. Но это только я ...
Это не только излишнее, но и при определенных обстоятельствах может привести к другим проблемам (потеря пакетов, однонаправленная передача пакетов и т. Д.)
Если вы охраняете много денег или что-то такое же ценное, то да, у меня были бы несколько уровней защиты, и второй брандмауэр мог бы предоставить по крайней мере предложение токена трески в этом отношении.
Это функция сложности вашего брандмауэра и маршрутизации. Linux-бокс может в значительной степени функционировать как выделенный маршрутизатор начального уровня, позволяя выполнять перезапись адресов, очереди на основе классов, перезапись портов и т. Д.