我想就与主防火墙相同的pfSense盒子上运行SquidProxy服务器的优缺点展开讨论。
今天我有一个pfSense做所有的防火墙事情,比如路由和过滤(我不使用NAT),所以pfSense只过滤公有IPv4地址。 由于安全原因,本地DNS被禁用,并且DHCPd在内部LAN内的另一台计算机上运行。
因为我想安装一个SquidProxy,也许使用SquidGuard进行一些过滤,显而易见的想法是将所有内容放在主防火墙上,但我不确定这是否是一种好的做法。 但我不知道是否有任何可行的select。 鱿鱼必须以透明模式运行,所以用户不知道他们是在一个代理。
最佳做法是将networking防火墙的angular色与其他任何东西分开。 通常。
这背后的原因是,与防火墙一起运行的软件越多,通过其他软件中的漏洞就越容易受到威胁 – 而且如果有人危及防火墙,则他们将有效地拥有您的networking(或者至less是分区由该防火墙“守护”)。
然而,通常情况下,通过简单地拒绝来自外部世界的访问就可以轻易地减轻这种情况,因为这是大多数企图攻击通常起源的地方。 由于不需要“外人”使用你的代理服务器(并且你有很多理由要拒绝他们),那么你可以很容易地configuration你的防火墙来丢弃/拒绝来自外部networking的连接。 (就我而言,尽pipe我使用SSH来pipe理我的基于Linux的防火墙并允许SSH从外部进入我的networking,但外部的SSH连接实际上是将端口转发到我的networking中的一个单独的服务器,如果我可以跳转到防火墙我需要,而不是直接在防火墙上接受它们,只是因为它减less了我的防火墙本身的攻击面。
这仍然会让您的防火墙暴露在Squid中的漏洞中,从networking中的恶意用户泄露。 这个风险是否足够严重,需要在一个完全独立的盒子上安装Squid(即使对于透明的代理configuration也是可行的,但是确实增加了复杂性),这是一个折衷,你必须自己考虑 – 如果这只是一个家庭networking,可能不值得这么麻烦,但如果这是一个大型学区或ISP的互联网网关,那么你必须非常认真地考虑来自内部的攻击风险。
与所有的安全问题一样,这是一个权衡的问题。 但是,如果有疑问,我的build议是遵循这里的最佳实践,并将代理放在一个单独的盒子上 – 比对不起更安全,特别是在谈论防火墙时!