web-dev-qa-db-ja.com

専用ファイアウォールを持つことにはセキュリティ上の利点はありますか?

ルーターにファイアウォールを確立するのではなく、専用のファイアウォールを使用することにセキュリティ上の利点はありますか?ありがとう。

4
Sheldon

ここでは、Linuxのnetfilterのようなソフトウェアベースのファイアウォールではなく、ハードウェアベースのファイアウォールを意味していると思います。

すべてではないにしても、ほとんどのルーターは、ファイアウォールとして機能できるある種のアクセス制御リスト(ACL)をサポートしています。専用ハードウェアファイアウォールは、より強力で(より多くのトラフィックを処理でき)、ステートフルインスペクションをサポートし、攻撃検知(IDS/IPS)などのより高度な機能を備えているため優れています。最後に、これは要件と選択したハードウェアによって異なります。

6
Khaled

その多くは、問題のルーターによって異なります。たとえば、Cisco CatalystスイッチのASAサービスモジュールには、一部のローエンド専用ファイアウォールよりもはるかに多くの機能があります。しかし、ここでの議論は、「ブレードは専用ファイアウォールですか? "です。

専用ハードウェアは通常、ファイアウォールの役割により優れた機能を提供し、次のような他の境界サービスが含まれます。

  • IDS/IPS
  • より堅牢なアプリケーションレベルゲートウェイ(TCP/80がSSHではなく実際にHTTPであることを確認してください、そのようなこと)
  • VPN、IPSec、SSL。
  • 認証システムとの統合
  • 特定のアプリケーショントラフィックをプロキシする機能

専用デバイスに境界接続を処理させることについても強い議論があります。外部からの攻撃によって境界デバイスが奪われた場合、ネットワークに影響を与えるのは外界への接続だけです。

10
sysadmin1138

ルーターで役割を指定できる場合、セキュリティ上のメリットは実際にはありません。ただし、ACLとファイアウォールを混同しないでください。

ルーターはそのリソースを使用してルーティングするだけでよく、ファイアウォールは独自のリソースを使用するため、別のファイアウォールの方が適しています。これら2つを1台のマシンに配置すると、リソースが共有され、問題が発生したときに1台がリソースを支配し始める可能性があります(DDoS)。

また、別のファイアウォールには、IDS、ディープパケットインスペクションなどの優れた機能が付属している場合があります。

ファイアウォールを購入する際のもう1つのヒントは、帯域幅ではなく、1秒間に処理できるパケット数を尋ねることです。多くの場合、1 Ggitの高帯域幅をアドバタイズしますが、これは64KBパケットで計算されます。したがって、誰かがあなたを攻撃したい場合は、4 KBのパケットを大量に送信するだけで、スループットが大幅に停止します。

2
Lucas Kauffman

専用のファイアウォールボックスの主な利点の1つは、特に、firewall-setup-in-a-routerが手作りのiptablesルールのセットである場合(私のように)、管理と保守が容易なことです。これは直接的なセキュリティ上のメリットではありませんが、セキュリティを維持する手間を軽減するものはすべて、その分野での間接的ですが定量化可能なメリットです。

また、専用のファイアウォールボックスは、パケットフィルタリングだけでなく、farを実行する傾向があります。優れたファイアウォールボックスは、特定の種類のDoS保護、より高度なパケット検査オプションを提供する傾向があります( TCPポート80本当にHTTPストリーム?)などを介した接続。

一部のルーターもこの種の機能セットを提供していますが、通常、そのジョブ用に設計された専用ファイアウォールほど優れていないことがわかります。たとえば、複雑なパケット検査ルールにかかるCPU時間と専用ファイアウォールに驚かれるかもしれません。ボックスは、ファイアウォール機能を備えたルーターがソフトウェアのみ(特に「コンシューマーグレード」)で接続されている場合に、100MビットまたはGビットラインを飽和状態に保つための処理能力(より高速なCPUおよび/または専用の専用チップでのロジックアクセラレーションを介して)を備えていますルーター)はそうではないかもしれません。

2
David Spillett

ファイアウォールは、情報が(データが何であるかという理由で)送信の次の段階に移動する前にすべてが「クレンジング」される羊のすくいと考えてください。

速度のわずかな低下に対処できる場合は、ネットワークセキュリティを昔ながらのストアアンドフォワードの哲学に基づいてください。電子メールを含むすべてが一時的にファイアウォールに保存され、宛先(内部または外部)に転送する前にAVチェックされます

0
davidvpa

ルーターとFWは、攻撃者に対する個別の防御線と考えてください。 2つは1つよりも優れています

0
Lazy Badger