Почему мне был бы нужен брандмауэр, если мой сервер хорошо настроен?
Я отмечаю, что Вы сделали отличную работу, связывающую несколько различных демонов, и от того, что Вы сказали, что я думаю это вряд ли, что Вы подвергнете себя для беспокойства через те сервисы, которые Вы уже защитили. Это все еще оставляет Вас внутри, "все разрешено за исключением того, что, который я запретил" состоянию, и Вы не можете выйти из того состояния путем выслеживания демона после демона и обеспечения их один за другим.
Брандмауэр настроил для ОТКЛОНЕНИЯ ЛЮБОГО ЛЮБОЙ перемещениями по умолчанию Вы к, "все запрещается за исключением того, что, который разрешен" режим работы, и я нашел за многие годы, что они лучше.
Прямо сейчас, учитывая законного пользователя с законной оболочкой в Вашей системе, она могла решить выполнить некоторого локального непривилегированного демона для проксирования веб-запросов на Интернет, или запустить совместный доступ к файлам на порте 4662 или случайно открыть слушателя при помощи-g с ssh туннелированием порта, не поняв то, что это делает; или установка sendmail могла оставить Вас выполняющий MUA на порте 587, который был неправильно настроен несмотря на всю работу, которую Вы сделали при обеспечении MTA sendail на порте 25; или сто одна вещь могла произойти, которые обходят Вашу осторожную и вдумчивую безопасность просто, потому что они не были вокруг, когда Вы думали тщательно о том, что запретить.
Вы видите мою точку? В данный момент Вы приложили много сил для обеспечения всех вещей, о которых Вы знаете, и оно кажется, что они не укусят Вас. То, что может укусить Вас, является вещами, которые Вы не знаете о, или которые не являются даже там прямо сейчас.
Брандмауэр, какие значения по умолчанию ОТКЛОНИТЬ ЛЮБОГО ЛЮБОЙ - системный администратор способ сказать, что, если что-то новое приходит и открывает сетевого слушателя на этом сервере, никто не сможет говорить с ним, пока я не дал явное разрешение.
Существует много нападений, Вы могли быть succeptible к тому, если у Вас нет брандмауэра, который делает некоторый контроль пакетного уровня:
Примером является Пакет рождественской елки
http://en.wikipedia.org/wiki/Christmas_tree_packet
DDos-атаки могли быть выполнены против Вашей системы, брандмауэр (внешний, возможно, перед любым из Ваших серверов) остановится / медленный / уничтожают трафик, прежде чем это нанесло вред Вашим серверам.
Просто, потому что у Вас нет финансовых, или персональных данных по серверам, не означает, что Вы не будете 'ранены'. Я уверен, что Вы платите за пропускную способность или использование ЦП, или у Вас есть измеренный уровень. Вообразите в течение ночи (в то время как Вы спите), кто-то увеличивает Ваш метр (я видел, что это происходит с поставщиками Переключателя VoIP, совершите нападки ночью в течение миллионов МИНУТ трафика, что они должны заплатить по счету для).
Так будьте умны, используйте защиту, если это там, Вы не ПРЕКРАСНЫ, ни один не программное обеспечение. Это только безопасно, пока следующее использование не найдено.;)
Принцип Наименьшего количества Полномочия. Брандмауэр помогает Вам добраться там. Принцип Защиты подробно. Брандмауэр помогает Вам добраться там, также. Любая хорошо разработанная конфигурация явно полагается на эти два так или иначе.
Другая вещь состоит в том, что Ваши серверы, скорее всего, будут потребительским оборудованием или аппаратными средствами, специфичными для обработки программного обеспечения сервера, работающего сверху стандартного сервера ОС (Unix, Северо-Западные территории, Linux). Таким образом, у них нет специализированных аппаратных средств, чтобы обработать и отфильтровать входящий трафик эффективно. Вы хотите, чтобы Ваш сервер обработал каждую возможную многоадресную передачу, пакет ICMP или сканирование портов, происходящее его путь?
Скорее всего, то, что Вы хотите, - чтобы Ваши серверы физически обработали запросы только к некоторым портам (80, 443, Ваш ssl порт, Ваш типичный порт оракула 1521 года, Ваш rsync порт, и т.д.) Да, конечно, Вы настраиваете программные брандмауэры на своих серверах для слушания тех портов только. Но Ваш NICs все еще перенесет главный удар нежелательного трафика (быть этим злостный или нормальный в Вашей организации.), Если Ваши NICs становятся прибитыми, так сетевые пути, проходящие Ваши серверы (и возможно между Вашими серверами и клиентами внутренностей и соединениями с другими внутренними серверами и услугами.)
Мало того, что Ваши NICs становятся прибитыми, Ваш программный брандмауэр также будет занятым, поскольку он должен осмотреть каждый пакет или датаграмму, которую это получает.
Брандмауэры, с другой стороны, особенно брандмауэры на краях подсетей (или разделение Ваших подсетей от внешнего мира) имеют тенденцию быть специализированными аппаратными средствами, конкретно созданными для обработки того типа объема.
Можно окружить количество N серверов с количеством M брандмауэров (с N>> M). И Вы устанавливаете свои аппаратные средства брандмауэра для дампа чего-либо, что не направлено к определенным портам. Сканирования портов, ICMPs и другое дерьмо отсутствуют. Затем Вы подстраиваете программный брандмауэр в своих серверах согласно их определенной функции.
Теперь Вы только что уменьшили (но не устранили), вероятность общего отключения питания, уменьшая его до разделения отказа сети или частичного отказа в худшем случае. И таким образом, Вы увеличили способность своих систем пережить нападение или неверную конфигурацию.
Не имея брандмауэр, потому что Ваши серверы имеют, каждый похож на ощущение себя безопасным в наличии Вашего ремня безопасности на при управлении на уровне 120 миль в час под нулевой видимостью, должной вуалировать.Так не пойдет.
Если можно осуществить принцип наименьшего количества полномочия w/o использование брандмауэра, Вам, вероятно, не нужен он. С моей точки зрения, создающей защищенную систему, не используя брандмауэр, требует большего усилия, и я довольно ленив. Почему я должен потрудиться ограничивать соединения TCP с помощью других инструментов и вероятно многих файлов конфигурации, когда я могу разделить полномочия на транспортном уровне с помощью единственной конфигурации.
Брандмауэр также может прервать нежелательные пакеты от достижения Ваших серверов. Вместо того, чтобы иметь дело с ними на отдельном уровне сервера можно иметь дело с ними в брандмауэре. Можно сохранить все это действие конфигурации по единственному брандмауэру вместо нескольких серверов.
Например, если взломщик получил контроль над внешним IP и затопляет Ваши серверы с нежелательными пакетами, и Вы хотите смягчить эффекты, которые он имеет на Ваши серверы... Вы могли или настроить каждый из своих затронутых серверов, чтобы отбросить злонамеренные пакеты или просто внести изменение в Вашем брандмауэре, и все Ваши серверы защищены. Наличие брандмауэра уменьшило Ваше время реакции.
Вы или кто-то еще можете совершить ошибку на своей установке сервера один день, брандмауэр затем дает Вам 2-й шанс остановки кого-то вход. Мы не прекрасны, мы совершаем ошибки, и поэтому немного "ненужной" страховки может стоить.
(Попытайтесь не выполнить свой брандмауэр на той же ОС как Ваши серверы, как иначе единственная ошибка в ОС.... Я полагаю, что все версии Unix та же ОС, как у них есть так много общее),
Я был бы обеспокоен это, если Вы когда-нибудь становитесь взломанными и не иметь в распоряжении брандмауэр. Хакеры могли открыть другие порты на Ваших серверах. Кроме того, если консультант вводится, чтобы сделать некоторую очистку и аудит, первая вещь, которую они скажут, "ЧТО?!?! У Вас нет брандмауэра!" Затем Вы могли быть записаны.
Брандмауэры являются spicialized в транспортном управлении. Они делают это быстрый и имеют ресурсы. И Вы не тратите впустую ресурсы сервера для фильтрации трафика (диск io / proc время / и т.д.). Вы shuld настраивают некоторую безопасность в серверной среде, но весь транспортный контроль и поиск вирусов и так далее должны сделать специализированные серверы.