你应该在你的networking周边运行防火墙吗？

我认为networking中有防火墙是有好处的，原因有很多。

1. 保护敏感的内部数据不被修改/被盗/删除。 如果公司中的每个最终用户都可以访问所有生产数据库服务器，则所有密码都可以保护您的数据。 在某些情况下（SQL帐户与域帐户），整个开发人员在所有这些数据库上都有写访问密码是很常见的。 我所看到的大多数统计数据都表明，你从内部受到攻击的可能性大大高于外部攻击者。 心怀不满的员工可以非常积极主动。
2. 保护您敏感的内部数据不被意外修改/删除。 在生产数据库服务器上有意识地指向Stage Web服务器比您想象的更频繁。 如果您的Prod DB服务器防火墙已closures，以至于只有prod Web服务器和DBA才能访问它们，则可以显着降低此风险。
3. 一个更健壮的，分层的方法。 你添加的合理安全层越多越好。 有些人可能会有点疯狂，但总的来说这是一个好主意。
4. 随着你的networking变大，你需要保护自己。 无论是stream氓接入点还是笔记本电脑，几乎不可能100％确信networking上的所有内容都符合您的安全策略。

是的，仅仅因为在边界只有一个防火墙，就有一个单点故障。 如果这个防火墙有一个可以绕过的错误，那么你的安全性就不存在了。

安全应该是一种分层的方法，只要有可能，或者至less具有成本效益，适用于风险水平，在每一层都应用安全性。

与所有的安全build议一样，如果您的系统受到威胁，您应该考虑实际涉及的风险。 如果你只是松了一个没有数据的非关键的盒子，那么它可能并不重要。 如果您要保护国家机密，银行帐户或医疗保健信息，则需要使用更多的层次。

永远不要低估另一位员工将自己病毒携带的笔记本电脑带回家的能力，并将其插入骨干网。

在内部服务器上运行防火墙，可以控制真正使用的服务并防止错误使用。

例如，您有一个solaris服务器，只能用作NFS服务器。 然后有一天，你发现有些用户发现他们可以使用telnet / ssh / rsh / X连接到它，并开始在其上运行地震作业。

那么这取决于你对“可信”networking的信任程度。默认情况下，在非常经典的networkingconfiguration中，你的networking边缘就足够了。

假设您的所有web / client / nfs / …服务器都有一个可信任的区域。 如果被黑客攻击，它将能够访问每一台服务器来感染他们，并在您的networking上传播混乱。

我坚信您需要为每个function组（每个客户端一个networking架构）提供一个VLAN，每个VLAN中的所有通信都需要经过防火墙过滤。 这使您可以将安全方面的所有function组隔离开来，并避免崩溃所有公司。

从经验上讲，我以前工作的公司因为这件事而死亡。 所以是的，这是有用的:-)

看这个的一个方法是：

你们公司有某种外围安全，对吧？ 也就是有栅栏的门屋等

把这看作你的主要防火墙。

不过，你锁住build筑物，锁上build筑物的一部分，locking各个办公室等。如果你有扫描的徽章，有些人的徽章甚至不让他们进入某些build筑物的部分，更不用说进入个别办公室了。

每个locking的部分就像另一个防火墙。

如果你打算使用防火墙作为你的防护，你应该考虑让它们隔离你的networking部分。 你不应该认为一个数据包是好的，只是因为它在你的边界内。

我已经在networking中看到了一些防火墙的部署来保护单个主机，并且有两个个人的经验。 在这两种情况下，被保护的单个主机是一个传统的操作系统，运行在一个“authentication”的configuration中，不能改变（一个出于合法合规的原因，另一个继续得到供应商的支持）。

由于主机向networking暴露了不需要的服务（因为在某些情况下，主机没有提供良好的日志function来logging不同的TCP会话 – 客户想要的东西），而且由于主机的configuration是固定的，我们select了使用专用防火墙设备（一种是Cisco PIX，另一种是运行IPtables防火墙和TCP代理服务的基于Linux的计算机）对主机进行防火墙。

所以，如果您的传统主机“陷入”次优configuration，您可能会考虑部署防火墙来保护它们。

你多大了？ 在一定的规模上（这可能会有所不同），您可能会将帐户，工资单，人力资源和生产服务器与公司其他部门的不受控制的访问分开。 （我想给自己一个加薪，不幸的是，有些人会超出一厢情愿的想法。）

我在LAN，WLAN和安全方面担任顾问。

大多数情况下，这个问题在需要新的VLAN /子网的路由点时引发了争议。
我的偏好绝对是防火墙（如果你足够了解如何pipe理你的防火墙当然。

这以一种简单的方式增加了安全性和可靠性

• 默认情况下，路由器会转发一个防火墙。 这意味着只有必要的服务将被允许。
• 路由器不是会话感知的，防火墙是会话感知的。 这使ACL的configuration减轻了很多。
• 防火墙可以轻松logging他所阻塞的内容，路由器上的ACL大多只能提供计数器。 这增强了networking的故障排除和可视性。

当然，回报是防火墙出于同样的原因比路由器或三层路由交换机的性能更差。
当然，你应该隔离所有通常在VLAN之外没有大stream量的stream量：来宾互联网，来自第三方（HVAC，访问控制）的基础设施，DMZ，AP，VoIP，…

问题是标准客户端PC和服务器之间的stream量。 如果通过防火墙运行它，则应考虑吞吐量。 同时请记住，没有IDP的防火墙确实允许或阻止某些服务，而不会查看在这个特定服务中发生了什么。

所以在这里我们必须平衡安全与投资。

现在，瞻博networking正在推出一系列令人难以置信的性能的新系列防火墙，价格合理，可以用路由防火墙replace路由核心。 看看SRX系列。 这个具有Gb吞吐量的SRX防火墙的成本不高于体面品牌的路由交换机。

我们在工作的所有本地工作站上运行防火墙，我们认为这是一件“好事”，就像前面提到的那样，一些笨拙的人可能会将感染了病毒或蠕虫的个人笔记本电脑释放到“信任' 企业networking。

运行像赛门铁克或迈克菲这样的解决scheme，您可以集中pipe理所有客户端上的防火墙规则集，以快速响应快速传播的蠕虫（如果您是一名快速思考者，也可以创build预设一旦你知道它是如何穿过networking的，那么ACL就会在你的局域网内连接交换机和路由器，以潜在地阻止恶意代码的传播。

这就是说，请注意，您可能会遇到应用程序问题，您的客户需要与特定端口上的服务器进行通信等。

总结 XP，Vista等工作站上的防火墙=好东西。 不要部署到服务器上，除非您准备好logging和调整连接到应用程序的客户端。

数据包filter不是“安全”。

一个全面的解决scheme肯定也会过滤内部networking的stream量，但这不一定是包过滤防火墙的forms。

抑制客户端之间的stream量以减慢蠕虫传播可能是一件非常好的事情，但最好通过在交换机中configuration它，或者 – 如果不可用 – 只要将所有非服务器IP地址修改为0.0.0.0客户端的ARPcaching。

对于传入的笔记本电脑，只要给他们一个非路由的无线局域网，他们必须VPN进入病毒扫描代理可能会更喜欢在每个networking之间有一个数据包filter。 只允许永久安装工作站到交换机端口的802.11x实际上可以提供这个和以前的点。

VLAN在安全性和性能方面也做得比他们的份额要多。 不是每个人都必须与其他人交谈，如果你不在他们之间切换/路由，你不必过滤。

基本的安全原则之一是“最低限度的特权”。 有人（或某事）只需要最低限度的访问/信息来完成他们的工作。

如果您的数据库只能通过Web服务器访问，那么您为什么要允许networking上的其他服务器访问它？ 同样适用于其他系统…

因此，您需要在外围设置防火墙，并在每个系统（iptables，pf等）上安装基于主机的防火墙，以提供更精细的控制。 这样一来，如果一个系统受到攻击，攻击就会越来越难以传播到您的networking上。

另外，如果你有不同的许可证段，你还需要一个外围防火墙或者至less一个vlan（比如把HRnetworking与开发者分开，或者把DMZ与内部网隔开）。

所以，是的，有一个明确的答案:)