为什么防火墙应该在服务器之外,除了这两项
- 消除服务器噪音对性能的影响。
在设备之间添加一个物理层,以便它们可以位于不同的子网中,然后使用 ACL 来防止 IP 欺骗。这样,IP 地址可以可靠地用于验证数据包来自哪个内部网络。(如果 IP 地址不匹配,来自内部网络的数据将被丢弃,如果 IP 地址与内部网络之一匹配,来自 Web 的数据将被阻止).. 这可能通过使用备用以太网端口来完成服务器,但单独的设备似乎更易于管理。
实际上,我倾向于认为源 IP 检查可以用私钥和加密握手代替,但我知道这可能不切实际。
除此之外,在我看来,软件防火墙应该处理所有事情,包括阻止协议、抑制“连接被拒绝”等。
剩下这些
- 缺乏好的软件防火墙解决方案(例如我的 Windows PC 可能永远不应该直接连接到互联网。
- 添加第二层,以防软件防火墙配置错误。
- “弥补”船上软件的缺陷,例如防火墙可能会自动更新最新的检查规则,但如果软件一开始是安全的,这应该不是问题。
如果我在单独设备的正确目的上遗漏了一些东西,请赐教。我发现我认为前两项是唯一合法的目的。剩下的只是弥补服务器的不足。