コロケーションセンターにたくさんのUbuntuサーバーをセットアップしています。彼らは共有ファイアウォールサービスを提供していますが、サーバーに自分でファイアウォールをインストールすることを提案しました。つまり、各マシンにiptablesを構成することを提案しました(彼らは [〜#〜] apf [〜#〜] を提案しましたが、私は [〜#〜] ufw [〜#〜] )の使用に傾いています。
専用ファイアウォールの方が安全だと確信しているので、共有ファイアウォールを使用するように依頼しました。
専門家によって管理されている専用のファイアウォールが、ソフトウェアで管理できるものよりも優れたソリューションであると考えるのは正しいですか?
外部ファイアウォールに加えてサーバーにファイアウォールを設定する必要がありますか、それともやり過ぎですか?
共有ファイアウォールがハードウェアデバイスなのか、それとも単なるLinuxボックスなのかは重要ですか?
[〜#〜]編集[〜#〜]:明確化。すみません、とても時間がかかりました。
ハードウェアファイアウォールの有無にかかわらず、サーバーにiptablesのようなソフトウェアファイアウォールをインストールすることをお勧めします。攻撃者により多くの壁を提供するか、攻撃者を許可するために誰かが愚かなことをしなければならない場所をより多く提供するかどうかにかかわらず、保護の層が多ければ多いほどよいでしょう。
そうは言っても、私は通常、ソフトウェアとハードウェアの両方のファイアウォールを使用したいと思います。ただし、マネージドファイアウォールの場合、ファイアウォールプロバイダーのスキルと応答性に実際の問題があります。彼らが港を開くのに1週間かかり、それが原因で顧客を失った場合、それは価値がありましたか?あなたが評価しているベンダーは素晴らしいかもしれません、これは私が持っているであろう考慮事項です。
そう:
専門家によって管理される専用ファイアウォールは、ソフトウェアで管理できるものよりも優れたソリューションですか?
それがどちらか一方の選択である場合、一般的にはそうです。この仕事に集中する専門家にあなたのためにこれを世話させてください。
外部ファイアウォールに加えてサーバーにファイアウォールを設定する必要がありますか、それともやり過ぎですか?
はい。唯一の欠点は、マシンのパフォーマンスが少し低下することです。利点は、誰かがハードウェアファイアウォールの内側にある別のマシンに侵入した場合でも、データセンター内の不正なトラフィックからある程度保護できることです。
理想的には、これが起こらないようにネットワークが設定されていますが、それはより高価であり、適切に維持するのが難しいため、常にそれに依存できるとは限りません。
共有ファイアウォールがハードウェアデバイスであるか、Linuxボックスであるかは重要ですか?
ほとんどのハードウェアファイアウォールはLinuxボックスです。どちらを使用するかは重要ではありません。重要なのは、誰がLinuxビルドを実装したか、そして彼らがどれだけ優れているかです。専用のハードウェアボックスは、ビルドを安全にするためにおそらくより多くの時間と労力を費やし、おそらくデバイスにフラッシュされるため、リモートでハッキングして変更するのは少し難しいですが、それ以上の実用的な違いはありません。
-アダム
両方を使用する必要があります。共有ファイアウォールが「ハードウェアデバイス」であるか、ファイアウォールソフトウェアを備えた汎用OSであるかは関係ありません(ほとんどの「ハードウェアデバイス」は、ソフトウェアがオンになっている汎用OSであるため、大きな違いはありません)。
マシンのローカルファイアウォールは、ローカルトラフィックと外部トラフィックの両方から保護するために最善を尽くします(構成方法によって異なります)。共有ファイアウォールは、外部トラフィックに対しても役立ちます。スコープが異なるため、今日のシステムでは両方とも必須と見なす必要があります。ローカルは、共有ファイアウォールのみを使用して、Egg Shellの問題に対して少し役立ちます。つまり、偶然かどうかにかかわらず、多くの邪悪なものがローカルネットワークから発生する可能性があります。
共有ファイアウォールは、おそらくさらに少ないトラフィックを許可しますが、ホストローカルファイアウォールは、データベースサーバーへの接続、クラスター、負荷分散などを許可する必要がありますが、共有ファイアウォールを通過するべきではありません。
残念ながら、まだここにコメントできないので、別の回答として投稿する必要があります。
ここでAdamDavisの側に立って、最善の解決策は両方を組み合わせることだと言います。専用のファイアウォールとして機能するボックスを設定し、サーバー自体の接続をスクリーニングする必要があります。それがとにかくそれを行う方法です。 。サーバーの公開を信頼できるアドレスのみに制限するのに、ほとんど労力を要しません(iptablesにいくつかのエントリを取ります)。
「専用ファイアウォールボックス」については、どういうわけか「ハードウェアファイアウォール」(昔から人気のあるPIXなど)がベストだと思われがちですが、私には意味がありません。 、それは「魔法の箱」ではないので、すべての目的と目的のために、いくつかの特殊なソフトウェアを実行するPCです。そのようなデバイス(PIX、ASA、またはそれらに相当するもの)を手に入れても、それをセットアップするには専門家が必要ですが、それは「うまく機能」しません。最善の方法は、そのためだけに専用のLinux(またはbsd、実際には好みに応じて)ボックスをセットアップすることです。もちろん、探しているファイアウォール設定の複雑さに応じて、ハードウェアとソフトウェアを手伝ってくれる人が必要です。
これは少し話題から外れていますが、これをお伝えします。サーバーのセキュリティについては、iptablesを恐れないでください。 ubuntuにiptablesを処理するためのヘルパーツールがあるかどうかはわかりませんが、絶対に避けてください。 iptablesでチェーントラバーサルがどのように機能するかを理解するのに時間はかかりません。特定のアドレスからサーバーへのアクセスを閉じたり、単純なNAT)を設定したりすると、その後にいくつかの(非常に明確に定義された)シェルコマンドが必要になります。それ。
質問の明確化を求めてコメントしました..編集によっては、この回答を変更する場合があります!
専門家によって管理されている専用ファイアウォールは、ソフトウェアで管理できるものよりも優れたソリューションであると思いますか?
はい。私の考えでは、専用ファイアウォールの方が優れています。専門家が有能で信頼できると仮定すると、専門家による管理は一般的にはるかに優れています。
外部ファイアウォールに加えてサーバーにファイアウォールを設定する必要がありますか、それともやり過ぎですか?
良い(信頼できる)外部ファイアウォールがある場合、私はローカルソフトウェアファイアウォールについて曖昧です。他の人は同意しません、そして業界の傾向は外部ファイアウォールが破られた場合に内部保護の層としてローカルファイアウォールを持つことです。問題は、ローカルファイアウォールが問題を引き起こす管理上の努力とリスクが、追加の保護または心の一部に値するかどうかです。クライアントのいない環境(つまりコロ)では、そうは思いません。
共有ファイアウォールがハードウェアデバイスなのか、それとも単なるLinuxボックスなのかは重要ですか?
質問がわからない..多くの(ほとんどではないにしても)ファイアウォールデバイスは、基本的にLinuxOSを実行しているPCハードウェアです。
ファイアウォールは、Linux上に実装されているか、一部のハードウェアに組み込まれているか、または特別な目的のOS上に構築されているかにかかわらず、ソフトウェアです。 Linuxは、非常に微調整したり、その他の方法で保護したりできるため、ファイアウォールプラットフォームに最適なソリューションです。
これについての私の意見は状況によって異なります。
あなたの場合、コロケーション施設のファイアウォールを使用して、外の世界からあなたを保護することをお勧めします。おそらく、彼らが何をしているのかを知っているプロのネットワーキング担当者によって管理されているからです。また、DoS攻撃やその他のインターネットの迷惑行為からマシンを保護します。
同時に、私はコロのネットワークも信用していません。ソフトウェアファイアウォールを使用して、誰がsshインし、最小プロファイルをcoloプロバイダーのネットワーク内の他のホストに公開できるかを制御します。
内部の「信頼できる」(「信頼できる」のバージョンは異なる場合があります)ネットワークでは、ソフトウェアファイアウォールの使用を避け、代わりにネットワークインフラストラクチャを利用して通信制御を実装します。
ファイアウォールとネットワークルーティングの管理に十分な経験がある場合は、サービスの方が優れていると信じる理由はありません。面倒なことをしたくない場合は、彼らに対処させてください。
個人的には……いつでも好きなときにパケットを壊すことができるというアイデアが好きです。しかし、それは私だけです...
それはやり過ぎであるだけでなく、特定の状況下では、他の問題(パケット損失、単方向パック送信など)につながる可能性があります。
あなたがたくさんのお金、または同等の価値のあるものを保護しているなら、ええ、私はいくつかの防御層を持っているでしょう、そして2番目のファイアウォールはこの点で少なくともコッドピーストークンオファリングを提供するかもしれません。
これは、ファイアウォールとルーティングの複雑さの関数です。 Linuxボックスは、専用のローエンドルーターとして機能し、リライト、クラスベースのキュー、ポートのリライトなどに対処できます。