边缘路由器上的安全服务与标准防火墙

信息安全 网络 防火墙 路由
2021-08-16 17:18:49

如果我可以在边缘路由器上运行站点到站点 VPN、NAT 和反射 ACL(加上正常的路由功能),那么在其后面运行库存防火墙有什么用?

例如,核心交换机 --> 防火墙 --> 边缘路由器 --> ISP 连接

换一种方式问,如果路由器可以做到这一切,你为什么要在防火墙上运行 VPN 和反射 ACL,在路由器上运行 NAT + 路由功能?

4个回答

您没有提到的,以及对于这类问题通常重要的是,您拥有什么样的硬件,您的要求是什么(吞吐量、并发连接、加密负载等)。您的流量快照是什么样的,它来自哪里,理想情况下应该进出什么?

(而且你还必须担心更坏的情况——取决于你支持的人——世界、有 SLA 的外部客户、内部客户、办公室里的两个人——你可能不得不担心最坏的情况只是一点点,或者可能是您设计的核心)。

缺少了这一点,以下是我避免使用多合一解决方案的一些一般原因:

  • 一体机设备会给您带来单点故障(或者至少是更容易被故障禁用的折叠数据路径)

  • 大多数角色设备——路由器、交换机或防火墙——尤其是在你摆脱低端商品之后——都针对它们的主要角色进行了优化。

    • 这意味着硬件得到了优化——IPSec 或其他 VPN 的加密技术被卸载到 ASIC,交换机背板成为(或不是)超级高速公路,专用芯片处理第 2 层流,等等。思科交换机一直使用 ASICS。Juniper 和 Cisco 长期以来一直在做路由,并且知道如何适当地卸载到硬件。

    • ...和软件被优化。组件可能会起作用,但如果它们是添加的,而不是从一开始就集成,您将看到灵活性、弹性和稳定性的结果。在许多情况下,公司之所以收购,是因为他们拥有能够弥补弱点并很好地完成一两件事的设备——随着时间的推移,功能已经被添加(并添加和添加),通常只在软件中,这样你,客户可以购买一个不错的“全面”产品。您可以从基本用户界面到某些组件相对于其他组件的报告工具的僵化等各个方面看到这一点的后果。如果您在设备上有自反 ACL 和 VPN 和 IPSec 以及数据包捕获和深度数据包检查 - 必须有人对其进行配置,有人必须对其进行监控,并且在某些时候必须有人对其进行故障排除。

可笑的类比数一个-你可以把一个扰流器上的公民,它甚至可能会做一点点事,但扰流板真的只是一个摆设。(如果您的安全性完全是为了审核正确的盒子,有时您可以“逃脱”装饰。但这不是真正的安全性,我们知道这一点。)

拥有一个做得太多的产品也会出现在产品支持中。如果您的 Everything 设备有问题,有多少支持?他们支持这个设备的第 96 和第 97 附加功能多久了?如果这是事后的想法,这可能会很麻烦。供应商有多少开发人员参与了回归测试、错误修复和新代码发布?

对于硬件,您通常可以添加在某些领域为您提供额外功能的模块。思科销售了许多可以卸载加密、“反 X”或 IDS/IPS 工作的卡和模块,这些卡和模块适用于从 ASA 到 6500 核心交换机的所有内容。好点子?那要看。你能买得起另一台设备,还是会事半功倍?
路由器仍然最擅长路由流量,核心交换机通常最好不要使用访问列表,防火墙最好不要运行 OSPF 和 BGP。

最后,这是另一个荒谬的类比——运动员可以是出色的游泳运动员、篮球运动员或体操运动员,但这并不意味着同一名运动员也应该在足球或橄榄球名单上占据一席之地。如果您是一名 IT 人员,并且您有一系列要求,您可以让一台设备占用您列表中的所有复选框——填写您名册上的所有可用职位。但是,如果您有足够的预算和资源来购买和部署更强大的解决方案来满足您的每种需求,那么我肯定会采取更可持续的策略。

关注点分离。是的,路由器可以完成防火墙的工作,但适当的防火墙会做得更好。您将对网络有更多的控制权,并在路由器被破坏时进行回退。

添加状态检查防火墙或将 VPN 和 NAT 移动到状态检查防火墙是没有意义的。这是因为状态检测防火墙通过端口号对流量进行分类和控制。鉴于端口跳跃应用程序的数量以及使用端口 80 或端口 443 的应用程序的数量,状态防火墙是无用的。

但是,我建议在边缘路由器后面部署“下一代”防火墙 (NGFW)。NGFW 将执行的关键功能将是应用程序识别和控制、用户控制、内部网络分段、基于策略的路由、QoS 和威胁预防。

由于大多数流行的攻击通过在端口 80 上运行绕过数据包检查防火墙,我建议稍微不同的配置。

首先,十年前,主要的防火墙供应商将路由协议集成到他们的防火墙中,从而可以消除边缘路由器,从而简化网络设计和部署。有足够多的企业 IT 安全类型达成一致,因此诺基亚/Check Point、瞻博网络/NetScreen 和思科的业务蒸蒸日上。因此,至少根据基于销售的流行观点,如果防火墙和边缘路由器是同一设备,您可以拥有可靠的网络设计。

那么,我建议您在边缘安装防火墙/路由器,然后在内部安装某种代理或深度数据包检测设备。防火墙/路由器处理所有旧的、“简单的”、很好理解的东西。代理/DPI 提供了一些针对当前内容的保护。所有内部流量都必须通过代理/DPI 设备,以验证流出的流量是可接受的(不是来自木马或蠕虫,不会流向会导致组织被起诉的网站)并且返回的响应不是恶意软件(不是说你会得到 100%,但你可以减少潜在的暴露)。

你可以花一大笔钱买一个带路由的 DPI VPN 防火墙,全部放在一个盒子里。那会很好。那么,我建议您根据负载而不是功能来划分功能。因此,如果您有大量 VPN 流量,并且占用了 CPU,那么获得单独的 VPN 设备是有意义的。如果 DPI/proxy 占用大量 CPU,请将其拉​​出到它自己的盒子里。

最后,获得一些深度防御宗教。想想当网络的不同组件(例如最终用户计算机或 Exchange 服务器或公司备份服务器)受到威胁时,您会遇到哪些漏洞。依次做每一个,考虑你的网络设计,你将如何检测组件被破坏,攻击者可以采取的下一步措施,以及在发现被破坏后如何​​清理混乱。

其它你可能感兴趣的问题
上一篇连接到不受信任的公钥服务器存在哪些风险? 下一篇对 PHP Web 应用程序的安全攻击