Один из моих клиентов попросил меня проверить его сеть. В его серверной стойке я нашел Fortinet FortiGate 60 и Zyxel Zywall 70. Оба они, на мой взгляд, являются законченными решениями межсетевого экрана для SOHO (который у него есть с 1 сервером и примерно 10 клиентами).
Поскольку я не специалист по сетям, я не знаю, может ли эта настройка быть полезной или просто избыточна.
С одним внешним подключением такая конфигурация была бы весьма необычной.
Причины, по которым я могу подумать, почему второй брандмауэр можно использовать для небольшой группы.
Удачи
Два брандмауэра, фильтрующие одну и ту же локальную сеть, звучали бы неправильно, если бы у них не было никакой другой сети.
Вам необходимо проверить эти межсетевые экраны и составить карту сети, чтобы иметь возможность принять решение. Только это даст вам информацию, которую вы ищете.
Полезно, только если ими управляют разные группы.
Единственная ситуация, с которой вы столкнетесь, - это если вы работаете в большой организации, такой как крупная финансовая или правительственная организация.
Может быть, они работают как внутренний и внешний брандмауэр ... и тогда может быть коммутатор локальной сети между запуском DMZ.
Не так, как я бы проектировал сейчас, но некоторые заказчики настаивают на использовании двух уровней межсетевых экранов от разных поставщиков внутри / вне DMZ.
Возможно, что стороны нескольких брандмауэров могут быть обращены вместе (т. Е. Внутрь), чтобы обеспечить высокую изоляцию для защищенного внутреннего ядра LAN. Один из них обеспечивает обычную защиту WAN через NAT, а другой - безопасный. исходящий доступ из систем на стороне LAN, на основе порта, устройства или специальной «VLAN».
Поскольку каждое внутреннее устройство теперь видит «жесткую» сторону брандмауэра, это может помочь предотвратить вероятное и мгновенное перекрестное заражение всей ЛВС в случае, если подключенное к ЛВС устройство скомпрометировано.
При реализации с недорогими стандартными маршрутизаторами такая схема по сути является экономически эффективным способом развертывания версии функции безопасности портов, которая есть только в маршрутизаторах высокого класса (например, Cisco) с пятизначными ценниками. Однако при использовании одного маршрутизатора на порт затраты быстро растут, поэтому это имеет смысл только для небольших SOHO или домашних сетей высокого класса.
Защита исходящего трафика с помощью межсетевого экрана становится все более важной в наши дни из-за сценариев BYOD, а также из-за роста атак вредоносных программ, нацеленных на маршрутизаторы. Атаки конфигурации маршрутизатора, в частности, могут быть радикально уменьшены в настройке, описанной выше, путем настройки интерфейсов конфигурации маршрутизатора недоступными извне их соответствующих межсетевых экранов, т.е. недоступно для устройства, подключенного к порту.
Не заходя слишком далеко, даже за пределы BYOD, контроль исходящего порта становится еще более важным, поскольку доверие к программному брандмауэру, привязанному к устройству, подрывается. Неправильная конфигурация, открытие портов UPnP, запутывающая сложность пользовательского интерфейса брандмауэра, исходящие политики «разрешить по умолчанию», тихая реконфигурация с помощью программы установки и вмешательство конечного пользователя - вот уже давно существующие проблемы. Но теперь в последних версиях некоторых операционных систем к ним добавляются скрытые автотуннели ipv6 (используемые для функций телеметрии, рекламы и маркетинга, которые иногда невозможно отключить) и / или грубые режимы обхода брандмауэра с привилегиями ОС. Конечно, программные брандмауэры в сочетании с устройством, которое они должны защищать, обеспечивают в лучшем случае сомнительную безопасность, но эти новые соображения, похоже, теперь предполагают, что они полностью бессмысленны. Обращение каждого сетевого устройства к аппаратному брандмауэру, обращенному наружу, делает брандмауэры, привязанные к устройству, и их мириады проблем спорными.