web-dev-qa-db-ja.com

iptablesとハードウェアファイアウォール

Webサーバーで直接iptablesを使用するのではなく、ハードウェアベースのファイアウォールの利点について誰かが話すことができるかどうか疑問に思いました。

1つのプロダクションボックス専用のファイアウォールを使用することの費用対効果を評価しています。

5
doremi

(考えられる)パフォーマンスの問題以外に、ファイアウォールが保護しているサーバーと同じサーバー上にない場合、何らかの理由で誰かがアクセスにアクセスした場合に注意する必要があります。ウェブサーバー、彼らはまだファイアウォールをいじることができません、つまり彼らはあなたの発信ルールなどを変更することができませんでした。

ネットワーク経由でファイアウォールにアクセスする any 方法がないように別のファイアウォールを設定することもできます。これにより、改ざんからの防御が強化されます。

これは、別のボックスであるソフトウェアファイアウォールにも当てはまり、ハードウェアファイアウォールである必要はないことに注意してください。

4
zigdon

ネットワークのセグメント全体を保護しようとしている場合はハードウェアファイアウォールを使用し、特定のアプリケーションを保護しようとしている場合はソフトウェアファイアウォールを使用します。ハードウェアは環境全体の外部からの侵入者からスペースを保護し、ソフトウェアは環境の他の部分からでも特定の機能を保護します。

とは言うものの、この場合は1つのボックスを保護しているので、ソフトウェアを使用します。とにかく複数のWebサーバーを検討するまでは、パフォーマンスへの影響はそれほど悪くないはずです。その場合は、ハードウェアルートを確認する必要があります。

そして、はい、他の場所で述べたように、ハードウェアファイアウォールは全体的に信頼性が高い傾向があります。また、頻繁に変更する必要がある場合は、セットアップしてまっすぐに保つのがさらに面倒です。疑わしいトラフィックがWebサーバーとは別のデバイスにヒットすることによるセキュリティの向上に関して指摘された点はよくできていますが、セキュリティの全体的な向上は、単一サーバーのレベルでの追加コストによって正当化されないというのが私の見解です。 (いくつかの注目すべき例外を除いて)。成熟したソフトウェアファイアウォールは、簡単にセットアップでき、Web機能に必要なサービスを超えて実行されている他のサービスがない定期的に保守されているサーバー上にあり、最近は安定していて安全であるはずです。または、少なくとも、ファイアウォールがとにかくキャッチしないHTTPトラフィックを通過するバッファオーバーフローエクスプロイトを取得し始めるまでです。

0
Johnnie Odom

カチッと音がするリレーがない限り、それは常にソフトウェアファイアウォールです。あなたは、ソフトウェアが十分に曖昧で、誰もそれをハッキングする方法を知らないことを望んでいます。

私は多くのIPTablesベースのLinuxファイアウォール、Cisco PIX、および既製の消費者向けボックスを持っていました。それらすべての中で、Linuxファイアウォールは再起動の必要性に関する問題が最も少ないです。ほとんどが2年以上の同意稼働時間を超えています。システムの再起動が必要になる前に、UPSのバッテリーが消耗する傾向があります。

05:35:34アップ401日、4:08、1ユーザー、負荷平均:0。02、0。05、0。02401日前にUPSを交換しました。

30台のCiscoPIXファイアウォールのうち、3台は2年後に死亡し、5台は2か月ごとに再起動する必要がありました。

「ハードウェア」ファイアウォールの大きな利点は、多くの場合、コンパクトなサイズであり、可動部品がないことです。

0
Porch

すでに述べましたが、1つのプロダクションボックスのみを扱っていて、それが考えられる将来にその環境で使用する唯一のプロダクションボックスであり、規制の問題に準拠する必要のあるボックスではありません( PCIなど)-ホストでフィルタリングを実行するだけで問題ありません。

冗長性などについては言及していないので、おそらくやり過ぎです。

予算があれば、とにかくファイアウォールとして別のボックスを入手するつもりでした(間違いではありません...)-しかし、IMOは、壊れるために機器を追加することになります-したがって、負荷が心配する必要はありません。フォールトトレラントなセットアップを展開しているわけではありません。ネイキッドサーバー自体はファイアウォールを必要としません。

0
gabbelduck