我目前正在分析防火墙的多path连接的后果。 在这种情况下,我想知道在networking边界上有多个防火墙来保护它是否真的不常见。 我想象的典型情况是一个多宿主networking,对于这个networking,pipe理员对不同的(或不是)ISP的链接有不同的策略。 或者甚至在ISP的networking中。
这种configuration的实用(dis)优势是什么? 你能提供一个使用多个边界防火墙的现有拓扑的例子吗?
编辑:特别是,我对一个内部terminal主机可以使用任何防火墙path的configuration感兴趣。 configuration的目的不是隔离内部区域。 实际上,我的目标是看看防火墙如何影响可能使用多个path(同时)正常工作的协议。
在多种情况下,多个防火墙是一个好主意。
互联网连接在办公室使用和webapp之间共享
在这些阴天不太常见,但以Web应用程序托pipe在位于公司办公室的私人数据中心的情况下。 如果公司办公室的工作站之一被Slammer蠕虫(使用一个古老的例子),所有的交通将通过共享的互联网连接。
如果单一的防火墙同时保护盈利的webapp和公司的“浏览午餐”networking,像Slammer这种公然的networking滥用可能会在防火墙上造成DoS。 这为营利性网站创build了一个networkingclosures事件。
如果使用两个防火墙,一个用于Webapp区域,另一个用于公司互联网,办公室防火墙会自行DoS,而WebApp快乐地继续赚钱。
其次,这样的防火墙可以防范内部威胁; 尽pipe这也可以用一个足够先进的单片防火墙来完成。
优点 :区域之间的基本故障隔离
多宿主networking:Internet +专用networking
在这种情况下,有多个连接,互联网连接和专用networking。 专用networking可能是一个物理层连接,也可能是一个类似于Amazon VPC的VPN隧道。
私有networking连接完全有可能无论如何都不能终止在公司的一个防火墙上。 例如,Amazon VPC连接有一些可能会触发硬件购买的特定要求。 或者,也许一个防火墙只能有一个外部连接,并添加第二个稍微可信的外部连接不在其function集中。 在这些情况下,额外的防火墙可以帮助终止并保护添加的networking连接。
优点 :提供原始设备中不存在的function,信任域之间的物理networking隔离。
多宿主networking:多个Internet连接
这与第一种情况的设置相同,但Office互联网与世界有自己的联系。
在这种情况下,办公室互联网连接完全有可能终止于市中心办公室,在那里webapp连接终止在郊区的租用数据中心。 物理分离使得两个设备成为一个简单的select。 数据中心和办公室之间可能存在物理连接,或者可能存在站点到站点的VPN。
无论哪种情况,多个防火墙都很有意义。
另外,如果办公室的ISP像Comcast Business一样慢,而数据中心ISP的SLA速度非常快,则数据中心连接将需要更强大的防火墙来跟上所有的stream量。
优点 :增强了区域之间的networking隔离,能够终止数据中心与办公室之间的站点到站点VPN连接
选播到一个单一的网站
这是一个相当特殊的情况,但是我可以想象做你想到的情况的唯一方法。 在这种情况下, Anycast被用来在互联网上build立多个连接到中央站点的非常快的networking连接点。 更高级的协议是基于TCP的。
在这种情况下,防火墙将存在于每个选播点到公司networking的边界处。 多path情况下需要:
在这种情况下,stream量将在一条腿上进入,并可能沿同一条腿离开,或者在路由表所说的发送应答的地方退出。 stream行音乐切换stream量通过不同的路段进入后,回复可能保持不变(除非路由表已经改变)。
这里棘手的部分是第二回路前的防火墙不会看到连接设置,所以它不知道。 如果它是一个全状态防火墙,机会非常高,它会拒绝它。 无状态的防火墙会通过stream量。
GEO-IP
在这种情况下,使用GeoIP运行多个站点以使服务更贴近客户。
为了得到你正在考虑的情况:
这是最简单的情况。 这只是新的TCP连接,而每个GeoIP站点前面的防火墙都会将每个连接视为新连接并允许它们连接。 大概相同的服务器提供服务将看到每个作为一个新的TCP连接并适当地处理它。 在这样的设置中, Source NAT将在GeoIP站点防火墙上使用,以确保回复按照正确的方式发送。 没有麻烦,没有大惊小怪。
高级协议是否可以处理这样的连接是达到更高级别的协议。 这根本不是防火墙问题。 当然,除非防火墙在特定的协议中是有状态的,否则每当这种情况发生时,像这样的设置就会失败。
有几个防火墙可能是有价值的。 特别是如果他们处理非常不同的任务。 检查日志并发现可疑的networkingstream量可能会更容易。
人们可以将它与一家普通的杂货店进行比较。 只有emplyoees只有一个入口,安全性高,所有活动都被logging下来。 那么你有正门,这是开放的每个人,没有安全,没有或很less的伐木。
但是,这一切都归结为networkingdevise。 对于两个独立的防火墙,它可能会或可能不会有用。 我pipe理的networking我们对每个接入点都有一个单独的防火墙,因为我们networking的安全级别从开放到“绝密”,并且试图让同一个防火墙同时处理所有这些将是一场噩梦。
我们使用debian为所有的客户和多家庭的网关,并使用IPTABLESlockingstream量。 您可能会认为这有点儿难以理解,但我知道这在我工作的行业中被广泛使用。使用IPTABLES,您可以真正到达可以允许的交通stream量的城市。 但问题是它可能有连接限制和吞吐量问题。 在服务器上绑定nics可能会有所帮助。 所以优点是价格便宜,function相当强大,但缺点是可能会发现linux盒子可以处理的连接数量的瓶颈。 检查这个 – iptables-rules-examples – 在如何使用IPTABLES设置明确的防火墙规则方面非常有帮助。 此外,您可以使用vrf和HA网关 – 这在CentOS 6.3 -centos6.3 HA中都是可用的