我的一个客户要求我检查他的networking。 在他的服务器机架中,我find了Fortinet FortiGate 60和Zyxel Zywall 70 。 他们都是 – 在我看来 – 完整的SOHO的防火墙解决scheme(他有1个服务器和大约10个客户端)。
由于我不是networking专家,我不知道这个设置是否有用,或者只是多余的。
通过一个外部连接,这样的configuration将非常不寻常。
我可以认为,为什么第二个防火墙可以用于一个小组的原因。
祝你好运
两个过滤同一个局域网的防火墙如果没有其他networking连接,就会出错。
您需要检查这些防火墙并制作networking地图以便能够决定。 只有这样才会给你你正在寻找的信息。
只有当它们由不同的团队运行时才有用。
你遇到这种情况的唯一的情况是,如果你是一个大型组织,比如一个大型金融机构或政府组织。
难道它们是作为一个内部和外部防火墙运行…然后可能有一个局域网交换机运行一个DMZ之间。
现在不是我怎么devise它,而是有些客户坚持在DMZ内部/外部来自不同厂商的两层防火墙。
有可能多个防火墙设备可以将它们的LAN侧面对在一起(即向内),从而为安全的内部LAN核心提供高隔离度。 其中一个通过NAT提供传统的WAN保护,另一个通过LAN端系统,每个端口,每个设备或专门的“VLAN”来安全的出站访问。
因为每个内部设备现在都可以看到防火墙的“硬”一侧,所以在局域网连接的设备被盗用的情况下,这可以帮助防止整个局域网出现可能的瞬间交叉污染。
当使用便宜的商品路由器实施时,这种安排本质上是一种经济实惠的方法,用于部署仅在具有5位数字价格标签的高端(即思科)路由器中才能find的端口安全function版本。 但是,在每个端口的一个路由器上,成本会快速增加,所以这对于小型SOHO或高端家庭networking来说只有意义。
由于BYODscheme以及面向路由器的恶意软件攻击的增加,出站防火墙保护越来越重要。 特别是在上述设置中,路由器configuration攻击可以从根本上减less,通过将路由器configuration接口设置为从它们各自防火墙的“外部”不可访问 – 即对端口连接的设备不可用。
除了BYOD以外,即使超越BYOD,出站端口控制也变得越来越重要,因为对设备绑定软件防火墙的信任受到侵蚀。 configuration错误,UPnP端口打开,混淆防火墙UI中的复杂性,“默认允许”出站策略,安装程序软件的静默重新configuration以及最终用户插入是长期的担忧。 但是现在,在一些操作系统的最新版本中,通过隐藏的ipv6自动隧道(用于遥测,广告和营销function有时不能被禁用)和/或明显的OS特权的防火墙旁路模式,这些都被复杂化了。 当然,软件防火墙,与他们应该保护的设备混合在一起,至多提供可疑的安全性,但是这些新的考虑现在似乎表明他们完全没有意义。 将每个局域网设备连接到一个面向外部的硬件防火墙,可以使设备绑定的防火墙及其无数的问题得到解决。