Преимущества брандмауэра:
- Можно отфильтровать исходящий трафик.
- Брандмауэры уровня 7 (IPS) могут защитить от известных уязвимостей приложения.
- Можно заблокировать определенный диапазон IP-адреса и/или порт централизованно вместо того, чтобы пытаться гарантировать, что нет никакого сервиса, слушающего на том порте на каждой отдельной машине или запрещающего доступ с помощью оболочек tcp.
- Брандмауэры могут помочь, если бы необходимо иметь дело с меньшей безопасностью осведомленные пользователи/администраторы, поскольку они обеспечили бы второй оборонительный рубеж. Без них нужно быть абсолютно уверенным, что хосты безопасны, который требует хорошей безопасности, понимающей от всех администраторов.
- Журналы брандмауэра обеспечили бы центральные журналы и помогли бы в обнаружении вертикальных сканирований. Журналы брандмауэра могут помочь в определении, пытается ли некоторый пользователь/клиент соединиться с тем же портом всех Ваших серверов периодически. Чтобы сделать это без брандмауэра, нужно было бы объединить журналы с различных серверов/хостов для получения централизованного представления.
- Брандмауэры также идут против спама / антивирусные модули, которые также добавляют к защите.
- Независимая от операционной системы безопасность. На основе хоста ОС различные методы / методы требуются, чтобы делать хост безопасным. Например, оболочки tcp не могут быть доступными на машинах Windows.
Прежде всего, это, если бы у Вас нет брандмауэра и системы, поставлено под угрозу затем, как Вы обнаружили бы его? Пытаться выполнить некоторую команду 'PS', 'netstat', и т.д. в локальной системе нельзя доверять, поскольку те двоичные файлы могут быть заменены. 'nmap' от удаленной системы не гарантируют защиту, поскольку взломщик может удостовериться, что руткит принимает соединения только от выбранного исходного IP-адреса (IP-адресов) в выбранные времена.
Аппаратные брандмауэры помогают в таких сценариях, поскольку чрезвычайно трудно изменить брандмауэр ОС/файлы, как сравнено для хостинга ОС/файлов.
Недостатки брандмауэра:
- Люди чувствуют, что брандмауэр будет заботиться о безопасности и регулярно не обновляет системы и останавливает нежелательные сервисы.
- Они стоят. Иногда ежегодный лицензионный сбор должен быть заплачен. Особенно, если брандмауэр имеет антивирусные и модули против спама.
- Дополнительная единая точка отказа. Если бы весь трафик проходит через брандмауэр и сбои брандмауэра затем, сеть остановилась бы. У нас могут быть избыточные брандмауэры, но затем предыдущая точка на стоимости становится далее усиленной.
- Отслеживание с сохранением информации не обеспечивает значения в общедоступных системах, которые принимают все входящие соединения.
- Брандмауэры с сохранением информации являются крупным узким местом во время DDos-атаки и часто являются первой вещью перестать работать, потому что они пытаются держать состояние и осмотреть все входящие соединения.
- Брандмауэры не видят внутреннего зашифрованного трафика. Так как весь трафик должен быть зашифрован от начала до конца, большинство брандмауэров добавляет мало значения перед общедоступными серверами. Некоторым брандмауэрам следующего поколения можно дать закрытые ключи, чтобы завершить TLS и видеть в трафике, однако это увеличивает чувствительность брандмауэра до DDoS еще больше и повреждает сквозную модель обеспечения безопасности TLS.
- Операционные системы и приложения исправляются против уязвимостей намного более быстро, чем брандмауэры. Поставщики брандмауэра часто сидят по известным проблемам в течение многих лет без исправления, и исправление кластера брандмауэра обычно требует времени простоя для многих услуг и исходящих соединений.
- Брандмауэры совсем не прекрасны, и многие известно ошибочны. Брандмауэры являются просто программным обеспечением, работающим на некоторой форме операционной системы, возможно, с дополнительным ASIC или FPGA в дополнение к (обычно медленный) ЦП. Брандмауэры имеют ошибки, но они, кажется, обеспечивают немного инструментов для обращения к ним. Поэтому брандмауэры добавляют сложность и дополнительный источник твердо диагностируемых ошибок к стеку приложений.
задан
Saariko
21 November 2012 в 17:30
Ссылка