我正在考虑在networking上实施pfSense防火墙,在实施方面我有很多select。 具体来说,我可以:
我感到紧张的一点是倾向于(1),因为不同的可信stream量在物理隔离的networking上更加整洁。 然而,(2)似乎有点整洁,并且在防火墙上需要更less的网卡。
显然,(2)有一个带宽缺点,我只能通过防火墙在所有networking上传输总共1Gbps的数据,但目前这不是问题。
我的问题是,(2)是否会带来我不知道的额外风险? 坐在广域网上的攻击者是否可以通过与他们共享一个进入防火墙的dot1Q干线来拦截/改变其他两个networking上的stream量?
需要注意的一类漏洞被称为“vlan hopping” – 有一些攻击方法,攻击者可以将一个802.1q报头添加到一个数据包,或者在已经有一个数据包的数据包上添加一个额外的攻击(在规范下是合法的),目的是让一些设备将数据包转发到一个不应该在networking正常运行范围内的networking。
然而,当然有一定的局限性 – 在这个时代,攻击将需要一个严重的networkingconfiguration错误(一个端口忽略面向接受标签的端口的标签,攻击者访问dynamic中继协议思科端口,或者攻击者访问端口接受不应该使用的标签),而不是networking设备软件本身的漏洞 – 例如,最好的做法是不要让带标记的数据包离开访问端口。
攻击者需要与广域网接口处于同一个广播域,才能尝试这种攻击,并且只有有限数量的vlan-aware设备,这就使得这种configuration错误的表面积很小。
这里有一篇有趣的文章试图certificate对思科设备的概念攻击。
老实说,物理隔离在这里面临的较大的安全风险是简单的错误configuration – 意外地接受在WAN接口上为内部vlan标记的数据包,或者意外地将WAN链接插入到内部vlan的访问端口。
只要您了解风险和潜在的威胁,精心规划和正确configuration的单界面布局就可以像气隙configuration一样安全。
简短的答案是否定的,他们应该是相当的。 您已经提到了共享带宽,因此,例外情况是一个接口上的DOS攻击可能会影响其他接口上的stream量,但从安全angular度来看,它们不应该能够访问其他VLAN。
这一切都假定VLAN已正确configuration并相互隔离(防火墙)。