Есть ли какие-либо преимущества безопасности в использовании выделенного межсетевого экрана по сравнению с установкой межсетевого экрана на маршрутизаторе? Спасибо.
Многое из этого зависит от рассматриваемого маршрутизатора. Например, сервисный модуль ASA в коммутаторе Cisco Catalyst имеет гораздо больше функциональных возможностей, чем некоторые специализированные межсетевые экраны низкого уровня. Но аргумент здесь следующий: "такое лезвие - это отдельный брандмауэр?"
Выделенное оборудование обычно обеспечивает лучшую функциональность для роли межсетевого экрана и включает в себя другие службы периметра, такие как:
Существует также веский аргумент в пользу выделенного устройства для обработки вашего соединения по периметру: если внешняя атака уничтожит ваше пограничное устройство, единственное, что затронет вашу сеть, - это соединение с внешним миром.
Я думаю, что вы подразумеваете под брандмауэром аппаратный брандмауэр, а не программный брандмауэр, такой как netfilter в Linux.
Большинство, если не все маршрутизаторы поддерживают какой-либо тип списка управления доступом (ACL), который может действовать как межсетевой экран. Выделенные аппаратные брандмауэры лучше, потому что они более мощные (могут обрабатывать больше трафика), поддерживают проверку с отслеживанием состояния и могут иметь более продвинутые функции, такие как обнаружение атак (IDS / IPS). В конце концов, это зависит от ваших требований и выбранного оборудования.
Одним из ключевых преимуществ выделенного блока межсетевого экрана, особенно если вы устанавливаете межсетевой экран в маршрутизаторе, является набор правил iptables, созданных вручную (как у меня), - это простота управления и ремонтопригодность. Это не является прямым преимуществом для безопасности, но все, что упрощает обеспечение безопасности, является косвенным, но измеримым преимуществом в этой области.
Также выделенные ящики межсетевого экрана имеют тенденцию делать далеко больше, чем просто фильтрация пакетов, хорошие, как правило, предлагают определенные типы защиты от DoS, более продвинутые параметры проверки пакетов (подключение через TCP-порт 80 действительно поток HTTP?) и так далее.
Хотя некоторые маршрутизаторы также предлагают такой набор функций, вы обычно обнаружите, что они не так хороши в этом, как специальный межсетевой экран, предназначенный для этой работы - например, вы можете быть удивлены, сколько процессорного времени могут занять сложные правила проверки пакетов и выделенный межсетевой экран. боксы будут иметь вычислительную мощность (за счет более быстрых процессоров и / или некоторого логического ускорения в специализированных микросхемах специального назначения), чтобы поддерживать 100-мегабитную или даже гигабитную линию насыщенной там, где маршрутизатор с функциями межсетевого экрана, привязанными только к программному обеспечению (особенно "потребительского уровня") маршрутизаторы) может и не быть.
Если вы можете указать роли в маршрутизаторе, в этом нет никаких преимуществ с точки зрения безопасности. Однако не путайте ACL с брандмауэром.
Отдельный брандмауэр лучше, потому что тогда вашему маршрутизатору нужно будет использовать только свои ресурсы для маршрутизации, в то время как ваш брандмауэр вносит свою лепту в свои собственные ресурсы. Если вы поместите этих двоих на одну машину, они будут совместно использовать ресурсы, и один из них может начать доминировать над ресурсами, когда дела пойдут плохо (DDoS).
Также отдельный брандмауэр иногда поставляется с более аккуратными функциями, такими как IDS, глубокая проверка пакетов и т. Д.
Еще один совет при покупке межсетевого экрана: не смотрите на пропускную способность, а спрашивайте, сколько пакетов в секунду он может обработать. Часто они рекламируют высокую пропускную способность в 1 Гбит, но это рассчитано на пакеты размером 64 КБ. Поэтому, если кто-то хочет атаковать вас, ему просто нужно отправить тонны пакетов размером 4 КБ, что приведет к остановке вашей пропускной способности.
Подумайте о маршрутизаторе и FW как об отдельных линиях защиты от злоумышленника. Два лучше, чем один
Думайте о брандмауэре как о овечьей яме, где все «очищается», прежде чем информация (потому что это данные) перейдет к следующему этапу передачи.
Если вы можете справиться с небольшим снижением скорости, основывайте свою сетевую безопасность на старомодной философии store and forward. Все, включая электронную почту, временно хранится на брандмауэре, проверяется AV перед пересылкой в пункт назначения (внутренний или внешний)