Несколько пограничных межсетевых экранов в одной сети

Question

Несколько пограничных межсетевых экранов в одной сети

В настоящее время я анализирую последствия многопутевых подключений для брандмауэров. В этом контексте мне интересно, действительно ли нередко иметь несколько брандмауэров на границах сети для их защиты. Типичным случаем, который я представляю, будет многосетевая сеть, для которой у администратора будут разные политики для ссылок от разных (или нет) провайдеров. Или, может быть, даже в сети интернет-провайдера.

Каковы будут практические (не) преимущества такой конфигурации? Не могли бы вы привести пример существующей топологии с использованием нескольких пограничных брандмауэров?

РЕДАКТИРОВАТЬ: В частности, меня интересуют конфигурации, где один внутренний конечный хост может использовать любой из путей брандмауэра. Целью конфигурации не будет изолировать внутренние зоны друг от друга. На самом деле моя цель - увидеть, как брандмауэры могут влиять на протоколы, которые могут использовать несколько путей (одновременно) для правильной работы.

1

networking security firewall isp topology

Источник

nimai 19 дек '12 в 10:23

3 ответа

Решение

Может быть целесообразно иметь несколько брандмауэров. Особенно, если они решают очень разные задачи. Может быть проще проверить журналы и обнаружить подозрительный сетевой трафик.

Можно сравнить с обычным продуктовым магазином. У вас есть один вход только для emplyoees, высокий уровень безопасности и вся активность регистрируется. Тогда у вас есть главный вход, который открыт для всех, без охраны и без или очень мало регистрации.

Однако все это сводится к проектированию сети. Это может или не может быть полезно с двумя отдельными брандмауэрами.NETork, которым я управляю, у нас есть один отдельный брандмауэр для каждой точки доступа, потому что уровни безопасности наших сетей варьируются от открытого до "совершенно секретного", и попытка заставить один единственный брандмауэр обрабатывать все это одновременно было бы кошмаром.

1

Источник

Sandokan 19 дек '12 в 11:15

Мы используем debian для всех наших клиентов и мульти-домашний шлюз и используем IPTABLES для блокировки трафика. Вы можете подумать, что это что-то вроде ручного запуска, но я знаю, что это широко используется в отрасли, в которой я работаю. С IPTABLES вы действительно можете отправиться в город с тем потоком трафика, который вы можете разрешить. Однако проблема в том, что у него могут быть проблемы с лимитом соединения и пропускной способностью. Связь с сервером на сервере может помочь. Преимущества в том, что это дешево и довольно мощно, но недостатки в том, что вы можете найти узкие места в количестве подключений, которые может обработать Linux. Проверьте это - iptables-rules-examples- действительно полезно, как устанавливать явные правила брандмауэра с помощью IPTABLES. Кроме того, вы можете использовать шлюз vrf и HA - все это доступно в CentOS 6.3 -centos6.3 HA

0

Источник

Oli 19 дек '12 в 10:41

Другие вопросы по тегам networking security firewall isp topology

sysadmin1138 19 дек '12 в 13:16 2012-12-19 13:16 · Accepted Answer · 2012-12-19 13:16

Несколько брандмауэров - хорошая идея в нескольких случаях.

Интернет-соединение, используемое между офисом и веб-приложением

Менее распространено в эти облачные дни, но возьмем случай, когда веб-приложение размещено в частном центре обработки данных, расположенном в офисе компании. Если Slammer запустит одну из рабочих станций в офисе компании (если использовать древний пример), весь этот трафик будет выходить через общее подключение к Интернету.

Если существует один брандмауэр, защищающий как коммерческое веб-приложение, так и сеть "просматривайте за обедом", то такое вопиющее злоупотребление сетью, как Slammer, может вызвать DoS на брандмауэре. Это создает событие отключения сети для коммерческого веб-сайта.

Если используются два брандмауэра, один вокруг зоны веб-приложений, а второй для корпоративных интернет-ресурсов, офисный брандмауэр будет сам делать DoS, пока веб-приложение весело зарабатывает деньги.

Во-вторых, такой брандмауэр может обеспечить защиту от внутренних угроз; хотя это можно сделать и с помощью достаточно продвинутого монолитного брандмауэра.

Преимущества: фундаментальная изоляция отказов между зонами

Многодомная сеть: Интернет + частная сеть

В этом случае существует более одного подключения, подключения к Интернету и частной сети. Частная сеть может представлять собой соединение физического уровня или туннель VPN с чем-то вроде Amazon VPC.

Вполне возможно, что подключение к частной сети, каким бы оно ни было, не может завершиться на том брандмауэре, который есть у компании. Например, к соединениям Amazon VPC предъявляются определенные требования, которые могут привести к покупке оборудования. Или, может быть, у одного брандмауэра может быть только одно внешнее соединение, а добавление второго, чуть более надежного, внешнего соединения не входит в его набор функций. В этих случаях дополнительный брандмауэр может помочь завершить и защитить добавленное сетевое соединение.

Преимущества: Предоставляет возможность, отсутствующую в исходном устройстве, физическую изоляцию сети между зонами доверия.

Многодомная сеть: несколько подключений к Интернету

Это та же настройка, что и в первом случае, но Интернет Office имеет свою собственную связь с миром.

В этом случае вполне возможно, что подключение к Интернету Office завершается в офисе в центре города, где подключение к веб-приложению заканчивается в арендованном центре обработки данных в пригороде. Физическое разделение делает два устройства простым выбором. Между центром обработки данных и офисом может быть физическое соединение, или может быть VPN-соединение между сайтами.

В любом случае, несколько брандмауэров имеют много смысла.

Кроме того, если интернет-провайдер работает медленно, как Comcast Business, в то время как интернет-провайдер центра обработки данных работает очень быстро с SLA, для соединения центра обработки данных потребуются более мощные брандмауэры, чтобы не отставать от всего этого трафика.

Преимущества: улучшенная изоляция сети между зонами, возможность разрыва VPN-соединений между сайтами между центром обработки данных и офисом.

Anycast на один сайт

Это довольно специфический случай, но единственный способ, которым я могу придумать, сделать тот случай, о котором вы думаете. В этом случае anycast используется для настройки нескольких точек в Интернете, связанных с очень быстрыми сетевыми подключениями к центральному сайту. Протокол более высокого уровня основан на TCP.

В этом случае межсетевые экраны будут существовать по периметру каждой произвольной точки входа в сеть компании. Случай с несколькими путями потребует:

Конечной точки достаточно для изменения местоположения в сети, чтобы она сменила любое назначение (поп-переключатель).
Конечная точка, чтобы не менять свой IP-адрес.

В этом случае трафик будет входить на одну ветку и, скорее всего, будет уходить вниз на той же ветке, или выходить там, где говорят таблицы маршрутизации для отправки ответов. После того, как трафик поп-коммутатора будет проходить через другой участок, но ответы, скорее всего, останутся прежними (если таблицы маршрутизации не изменились).

Сложность в том, что брандмауэр перед вторым участком не будет видеть настройки соединения, поэтому он не будет знать об этом. Если это государственный брандмауэр, шансы очень высоки, он отвергнет его из-под контроля. Брандмауэр без сохранения состояния пропустит трафик.

GEO-IP

В этом случае несколько сайтов работают с использованием GeoIP, чтобы приблизить сервисы к клиентам.

Чтобы получить дело, о котором вы думаете:

Конечный пользователь должен изменить географическое местоположение настолько, чтобы служба GeoIP вернула другой IP-адрес.
Конечный пользователь создает новое TCP-соединение для каждой транзакции протокола более высокого уровня.

Это самый простой случай. Это просто новые TCP-соединения, и брандмауэры перед каждым сайтом GeoIP будут рассматривать каждое соединение как новое соединение и разрешать его. Предположительно, один и тот же сервер, предоставляющий услуги, будет видеть каждое новое TCP-соединение и обрабатывать его соответствующим образом. В такой конфигурации Source NAT будет использоваться на межсетевых экранах сайта GeoIP, чтобы гарантировать, что ответы отправляются по правой стороне. Нет суеты, нет суеты.

Может ли протокол более высокого уровня обрабатывать такие соединения, зависит от протокола более высокого уровня. Это не проблема брандмауэра вообще. Если, конечно, брандмауэр не контролирует состояние в этом конкретном протоколе, в этот момент установка, подобная этой, потерпит неудачу всякий раз, когда происходит такой же отказ.