我正在考虑面向基础架构的networking的新networking布局,我对是否使用堡垒主机感兴趣。 今天的技术有必要吗? 现在我们有以下configuration:
互联网—>防火墙—>思科ASA —>防火墙—>网站(基于SSL的Linux)。
堡垒主机会让configuration变得复杂吗?还是真的会给我们一些我们还没有的东西?
谢谢!
除非各种设备具有不相交的function集合,否则三重防火墙/ IPS层对我来说没有多大意义。 如果两个设备之间没有代码或恶意活动的机会,而且他们真的只是紧接着插入,那么这似乎是巨大的浪费。
更传统的build筑会是这样的:
Internet->防火墙/ IDS-> Web服务器层 – >应用服务器层 – >(可选防火墙/ IPS) – >数据库
应用程序服务器层和数据库之间的可选防火墙实际上并不是那么有用,但PCI和其他法规要求这样做。 数据库服务器上的简单访问控制或软件防火墙在大多数环境中对我来说更有意义,而不是专用的单独防火墙。
一个更复杂,但可能有用的设置将是使用networking/代理“堡垒主机”层:
Internet->防火墙/ IDS-> Web /代理服务器 – >防火墙/ IDS->应用服务器 – >(可选防火墙/ IPS) – >数据库。
在我看来,上面的设置只有在你的堡垒主机之间的防火墙/ IDS能够做的不仅仅是简单的状态包过滤的情况下才有意义。 如果防火墙/ IDS中的IDSfunction可以查看HTTP数据包,并且只允许在Web /代理层和应用服务器层之间定义一组行为,那么这可能是值得的。
请注意,任何防火墙/ IDS层都可以实现为运行在目标主机上的软件防火墙。 这大大简化了networking连接,并且比硬件安全解决scheme更好地扩展。 你放弃了监视所有stream量的集中“堵塞点”,但这往往是放大的一个要求。 我怀疑Facebook或谷歌通过任何防火墙层的所有stream量 – 安全function只需要在这个规模分发。
在中型/大型networking中,看到服务器已经被加固的外围networking(堡垒主机的新术语)是非常常见的。 在较小的networking中,它不再是很常见的(如果是的话)。 将一个任务分配给一个服务器并将其强化为一切的想法在中型networking中重新stream行,因为虚拟化允许您轻松设置专用的虚拟机。
我发现这些设置是最常见的:
小型networking :
互联网—>防火墙/路由器—>内部networking(包括服务器和客户端)
中等networking
互联网—>外围防火墙—>外围networking(互联网访问服务器)—>内部防火墙—>内部networking(包括服务器和客户端)
高安全networking :
互联网—>外围防火墙—>外围networking(互联网可访问的服务器)
外围networking—>服务器防火墙—>服务器networking
外围networking—>客户端防火墙—>客户端networking
当然每个networking在这里和那里都有一点不同, 但这些是我最常见的主题。 典型的防火墙将IDS / IDP与典型的过滤等结合在一起。
我认为堡垒主机的function今天在防火墙上有点稀释。 如果你networking中的某些东西“经受住了不断的攻击”,那么它可能就是互联网前端的防火墙。
另外,我同意Chris S关于如何在不同大小的networking中组织安全性的观点。
如果你打算拥有3个防火墙,最好使用不同的供应商,因为如果你使用同一个防火墙,并且有人利用上述硬件/系统上的漏洞,你将失去所有的防火墙。
几年来我还没有看到常用的堡垒主机。 我没有跟上所有的推理,但是如果你决定不这样做的话,你会成为一个好公司。 然而,人们不再这样做的原因可能仅仅是经济的,而不是真正的或安全的。