我最近读了一篇文章(找不到链接),如果您有硬件防火墙,则主张转储软件防火墙。
我只是好奇一般中小型办公室对防火墙的看法。假设我们有一个路由器,后面有一个专用的硬件防火墙,可以在流量到达 LAN 之前过滤和路由流量。
这些天来维护通常随 A/V 或 Windows 提供的防火墙软件是否值得?我见过很多次我们诊断 PC 问题,一旦防火墙关闭,问题就消失了。通常这会导致我们在为有问题的应用程序自定义规则之后重新打开软件防火墙。
有没有人同意硬件防火墙足以防御的想法,还是值得拥有软件防火墙?
Per fianchetto - 当我说硬件与软件时,我应该澄清网关防火墙(在外围或路由器级别)和端点防火墙(台式机或笔记本电脑上的软件防火墙)。
首先,所有防火墙都是软件防火墙。有些具有“快速路径”技术,可将已在软件中评估的与指纹匹配的数据包卸载到 ASIC 或实时系统,但防火墙决策由软件堆栈做出。大多数防火墙在 linux 或 BSD 的变体上运行,它们自己的内核模块执行低级防火墙任务和用户态代码处理数据包,内核模块认为必须在更高级别进行检查,但有些,主要是 Cisco,有自己的操作系统。无论哪种情况,防火墙架构都不是“硬件”或“黑魔法”。
我认为您正在做出错误的区分,您实际上应该比较的是“端点防火墙”与“网关防火墙”。尽管有学究气,但重要的是要注意这是实际的区别,而不是硬件与软件的区别。
其次,这是一种最佳实践(nist 800-41),也是任何大型组织的合规性要求,不仅在外围进行细分,而且在内部也进行细分。在某些情况下(特别是笔记本电脑,从安全区域移动到安全区域......甚至移动到根本没有安全性的地方),网关防火墙很难满足这一要求。在这种情况下,端点防火墙很有用。
我个人对端点防火墙的经验和偏好是不使用它们来满足安全要求,除非绝对必要(如笔记本电脑)。我宁愿将它们视为额外的奖励。由于我很难集中管理,而且要确保所有系统所有者都合规,我必须有网络级别的控制。如果系统管理员还想管理 iptables,我推荐他们,但我不能依赖它。
最近有一些关于禁用 PC 防火墙的争论,因为有些问题会引起问题,尤其是在 PC 位于固定位置的情况下。这些天来,由于笔记本电脑和 Windows 7 占优势,我衷心建议使用 Windows 内置的防火墙软件,如果你只有这些,或者对于移动笔记本电脑,防火墙强制执行严格的 VPN,拒绝拆分隧道并禁止访问核心网络,直到满足安全先决条件。
如果它可用,你应该使用它。如果某个特定的防火墙阻止了应用程序工作,那么您需要花时间适当地重新配置防火墙和/或应用程序。
简短的回答是肯定的,每台 PC 都应该启用防火墙。
长答案是它取决于环境。管理每台 PC 的防火墙的成本是多少?由于防火墙被禁用,它是否超过了与攻击相关的成本?
如何计算攻击的成本?这些机器上有什么样的数据?任务关键的东西?业务关键?军事/政府的东西?奶奶最新的曲奇食谱?