我想知道是否有人可以谈论基于硬件的防火墙的优点,直接在Web服务器上使用iptables。
我正在评估为一个生产箱设置专用防火墙的成本效益。
除了(可能的)性能问题之外,要记住的一件事是,如果你的防火墙和它所保护的服务器不在同一台服务器上,那么如果有人能够访问networking服务器,他们仍然不能防火墙,这意味着他们无法改变你的外交规则等
还可以设置一个单独的防火墙,以便无法通过networking访问它,这又增加了防御手段的篡改。
请记住,这也是一个软件防火墙,这是一个单独的盒子,它不一定是一个硬件之一。
如果您试图保护整个networking的一部分,则使用硬件防火墙;如果您尝试保护特定应用程序,则使用软件防火墙。 硬件可以保护您的空间免受整个环境以外的入侵者的侵扰,软件甚至可以保护您环境的其他部分的特定function。
这就是说,在这种情况下,你正在保护一个单一的盒子,所以我只是去与软件。 性能的好坏不应该太糟糕,直到你考虑多个Web服务器的时候,在这种情况下,你会想看看硬件路线。
是的,正如其他地方所指出的那样,硬件防火墙往往总体上更可靠。 如果你经常需要修改它们,那么build立和保持直线的痛苦也更多。 关于有可疑stream量的安全性增加的问题涉及到与Web服务器分离的设备是非常好的,但我的观点是整体安全性的增加并不是由单个服务器级别的额外成本(有一些值得注意的例外)。 一个成熟的软件防火墙,简单地build立起来,在一个定期维护的服务器上,没有任何超出其networkingfunction要求的其他服务,现在应该是稳定和安全的。 或者,至less它会一直到你开始获取缓冲区溢出漏洞,通过防火墙无法捕获的HTTP通信。
除非有一个中继点击,它总是一个软件防火墙。 你只是希望软件足够模糊,没有人知道如何破解它。
我已经拥有了许多基于IPTables的Linux防火墙,Cisco PIX以及现成的消费者设备。 其中,Linux防火墙在重启时遇到的问题最less。 大多数已超过2年的同意正常运行时间。 在系统需要重新启动之前,我倾向于让电池在UPS中保持平稳。
05:35:34最多401天,4:08,1个用户,平均负载:0.02,0.05,0.02我在401天前更换了UPS。
在30个Cisco PIX防火墙中,3个在2年后死亡,5个必须每2个月左右重新启动一次。
“硬件”防火墙的巨大优势往往是体积小巧,希望没有移动部件。
这已经被陈述了 – 但是如果你只处理一个生产箱子,而且它是你在这个环境中唯一可以生产的箱子,而且它不是一个必须遵守任何监pipe问题的箱子( PCI等) – 然后只要在主机上进行过滤就可以了。
你没有提到冗余或类似的东西,所以这可能是矫枉过正。
我要说的是,如果你有预算的话,无论如何都要把防火墙作为一个防火墙(这是没有错的……) – 但是IMO会增加一个额外的设备来打破 – 所以如果负载不是一个问题,而且你没有推出一个容错的设置,裸体服务器本身并不需要防火墙。
在我看来,OpenBSD是解决scheme。 有一个运行OpenBSD的专用硬件。 在那里你可以configuration你的防火墙和东西。
由于ObenBSD防火墙在内核空间中运行,因此Linux机器上的iptables在用户空间中运行,因此更安全。