Puoi usare due firewall hardware? [duplicare]

4

Esiste una regola che dice "non utilizzare / installa più firewall su un computer" (i firewall software sono esatti), il che significa che se si dispone di una rete e di cinque computer è possibile solo installarne / utilizzarne uno firewall su ogni computer nella rete. O per semplificare l'operazione, non utilizzare il firewall comodo e zonealarm su un singolo computer o non utilizzare zonealarm o windows firewall su un singolo computer perché due firewall in esecuzione su un computer possono causare conflitti.

Mettere in pratica i due firewall se il primo è un firewall software e il secondo è un firewall hardware, in modo che possiamo usare insieme un firewall hardware e software. Ma puoi usare due firewall hardware su una rete?

Voglio dire, la regola dice un firewall software per computer sulla rete e il router funge da firewall hardware, quindi posso acquistare un firewall hardware di terze parti, collegarlo al router e utilizzare il firewall del router insieme a il firewall hardware puro?

    
posta Henry WH Hack v2.1.2 29.12.2015 - 21:13
fonte

4 risposte

6

Sì e ci sono diversi motivi per farlo.

I firewall come gli altri dispositivi informatici hanno occasionalmente difetti di sicurezza che devono essere riparati. Se dovessi pensare a due firewall o coppie di firewall (uno dietro l'altro) come due livelli di difesa se il primo livello avesse un problema e fosse possibile aggirarlo, il secondo firewall sarebbe in grado di impedire agli estranei di accedere alla tua rete .

Allo stesso modo, diversi tipi di firewall possono elaborare diversi tipi di attacchi a velocità diverse. I dispositivi di tipo solo hardware tendono ad elaborare i pacchetti a un ritmo molto più veloce dei firewall software, ma non elaborano o bloccano i pacchetti tanto profondamente mentre altri tipi di firewall possono bloccare un numero molto più grande di tipi di attacchi perché eseguono l'ispezione per ulteriori elementi o coprire più delle comunicazioni che vengono filtrate. Se un cliente dovesse distribuire entrambi, vorrebbe che il firewall hardware che si trova su Internet blocchi il maggior numero di attacchi e quindi il firewall del software dietro di esso blocchi gli attacchi a un livello più profondo.

Fai un ulteriore passo avanti e disponiamo di dispositivi Firewall specializzati come i firewall per applicazioni Web (WAF) che eseguono solo il filtraggio su http e https. Questi sono quasi sempre utilizzati in combinazione con i firewall più tradizionali di fronte a loro.

Analogamente in un ambiente cloud non è raro utilizzare frontalmente un firewall primario ed eseguire software firewall su ciascuno dei computer in un cosiddetto modello Zero-Trust di firewalling che è anche efficacemente a due livelli (o più) .

Nota: il firewall Zero-Trust non deve avere un firewall separato in testa, si tratta semplicemente di uno schema di distribuzione comune che vedo soprattutto negli ambienti AWS.

Infine per dissipare detta "regola": puoi usare due firewall software come IPTables e mod_security (essenzialmente un WAF) su un computer o persino avere IPTable che inoltra il traffico in ingresso a un secondo firewall software per ulteriori ispezioni per cose come Prevenzione della perdita di dati (DLP) o per malware avanzato o filtraggio di applicazioni. L'utilizzo del secondo firewall software come WAF è in realtà molto comune per le persone che eseguono software WAF.

Detto questo, avere due firewall software non è comune nel computing tradizionale, ma è un modo molto legittimo per aggiungere buoni controlli di sicurezza a un sistema e fintanto che si aggiungono controlli di sicurezza esclusivi in ogni livello e non si ripercuotono negativamente sulle applicazioni dire che è molto saggio farlo.

Riguardo all'avere un firewall hardware dietro il router. Questo è molto simile al modo in cui tutte le aziende hanno il proprio firewall dietro il loro router e dispongono di access-list sul router. Tutte le aziende hanno bisogno di proteggere quel router esterno così efficacemente quasi tutte le aziende hanno effettivamente due livelli di firewall anche se uno è più attivo rispetto all'altro. Lo faccio da solo perché l'ISP ha accesso al router di rete a casa mia e non mi fido dell'ISP per proteggerlo. Questo è molto comune negli affari e semi-comune per i router domestici tra le persone che conoscono la sicurezza.

Non si ottiene Defence Depth da un singolo livello, quindi avere un secondo livello è sempre saggio e penso che sarebbe saggio mettere in discussione questa "regola" che si parla di un firewall.

BTW: Una volta ho visto una banca che utilizzava tre diverse coppie di firewall in fila per la sua applicazione bancaria con Internet.

Link utili per il confronto:

link

link

link

    
risposta data 29.12.2015 - 22:33
fonte
4

Sì, è possibile utilizzare più di un dispositivo firewall, e non è affatto raro. Ad esempio, potrebbe esserci un firewall esterno nella connessione di un'organizzazione a Internet e un firewall interno che protegge una sottorete particolarmente sensibile, per esempio la R & D o la sottorete finanziaria.

È possibile, e generalmente dovrebbe, eseguire un firewall software anche su una rete protetta da un dispositivo firewall.

    
risposta data 29.12.2015 - 21:48
fonte
2

There is a rule that says "don't use more than one firewall" (software firewalls to be exact).

Non sono a conoscenza di alcuna regola del genere. Esistono infatti modelli di sicurezza che si propongono esplicitamente di mettere prima un firewall per filtri di pacchetti, poi un gateway a livello di applicazione e quindi un altro filtro di pacchetti da un altro fornitore. Combinare i firewall di diversi fornitori può aumentare la sicurezza se questi hanno una forza diversa.

first one is a software firewall and the second is a hardware firewall,

Non esiste un firewall hardware. Dal contesto della tua domanda sembra più che tu stia parlando di appliance firewall dedicate ("firewall hardware") rispetto a software sul tuo sistema. Ma tali appliance dedicate hanno ancora il firewall implementato nel software, anche se a volte accelerato con hardware definito software come FPGA.

Per ottenere la possibile fonte delle tue affermazioni (a cui manca qualsiasi tipo di fonte): se hai più firewall e software antivirus sullo stesso computer potrebbero interagire male tra loro perché non sono progettati per funzionare insieme ad altri firewall o antivirus. Ma questo non significa che la combinazione di firewall o antivirus sia generalmente negativa, è solo un problema se si tenta di eseguirli sullo stesso computer contemporaneamente.

    
risposta data 29.12.2015 - 23:39
fonte
0

La tua regola empirica si basa sull'incompatibilità di mettere uno o più filtri di modifica del traffico nello stesso stack di rete di qualsiasi altro filtro a meno che lo stack non imponga un ordine coerente (simile a una cipolla) di moduli filtro.

Un esempio comune si basava su implementazioni separate per eseguire NAT e incapsulamento tunnel VPN .

  • Se esegui NAT prima di decodificare sui pacchetti in entrata , devi eseguire lo stesso criterio NAT dopo che incapsula sui pacchetti in uscita e la tua politica NAT si applica al tuo rete esterna.

  • Anche fare la decodifica prima del NAT sui pacchetti in entrata può essere ciò di cui hai bisogno se hai bisogno di NAT per rimappare la rete interna per le differenze con la rete interna del sito remoto.

  • L'applicazione di criteri nello stesso ordine sul traffico in entrata e in uscita richiede una norma impossibile ; si applica ai tuoi indirizzi interni in una direzione e agli indirizzi esterni nell'altra.

Quindi, in generale, per combinare i moduli all'interno di un nodo è necessario un sistema progettato in modo monolitico o uno che abbia un'API chiara con garanzie di ordinazione e alcuni obblighi per non ottimizzare un modulo tagliando brevemente la separazione delle attività in entrata e in uscita sui pacchetti inoltrati.

Nei casi in cui nessuna garanzia è possibile, si utilizzano più gateway in cui ciascuno applica le proprie regole in maniera coerente in modo tale che ogni rete intermedia abbia un layout coerente. La combinazione di gateway e reti fornisce esattamente lo stesso layout di cipolla tra i filtri, in modo che ciascuno sia coerente con due visualizzazioni temporanee del traffico.

Alcuni progetti di firewall hardware sono incorporati in un'interfaccia di rete o si basano sulla virtualizzazione per presentare le normali interfacce al sistema operativo di destinazione. Questi firewall potrebbero coesistere con un firewall del sistema operativo senza problemi. In altri casi, l'hardware può semplicemente accelerare le costose operazioni per un firewall che inietta ganci su tutto il sistema operativo. È improbabile che i firewall che si basano su tali hook coesistono in modo pulito con qualsiasi altro firewall che fa la stessa cosa a meno che i ganci facciano parte di un'API progettata con cura.

    
risposta data 30.12.2015 - 23:12
fonte

Leggi altre domande sui tag