NAT \ modem防火墙后面的网络是否需要防火墙?


1

对SOHO路由器\ WIFI后面运行PFSense等防火墙的业务或路由器中的防火墙功能是否“足够好”是否合理?

大多数情况下,除非明确转发,否则路由器充当NAT,所有端口都被锁定。他们中的大多数甚至允许你阻止出站端口。这是需要防火墙的大部分。

那么告诉我,除了NAT路由器之外,还有哪些其他功能或“需要的功能”能够运行“真正的”防火墙,以及为什么要购买它。

2

路由器在内部是计算机。他们使用代码运行操作系统(通常是Linux或VxWorks衍生产品)。像任何实质性的软件一样,它们都有缺陷,其中一些可以被远程利用。然而,不像电脑,它们很少更新,所以无论安全漏洞如何,它们往往都是长寿命的。这不包括更多的基本问题,如default admin passwords

虽然,概念,路由器可以成为你的防火墙,因此任何其他防火墙是多余的,您将得到良好的建议运行一个额外的保护层,如小型PC有两个以太网接口,作为一个路由器/防火墙,带有类似Unix的操作系统(例如一些Linux或BSD风格)。这里重要的一点是:维护:不要认为盒子是一种不透明的器具,需要安装并遗忘。您已有检查安全更新,最好每天检查一次。

因此,我推荐在你的SOHO路由器之外安装另一个防火墙,这并不是因为路由器在防火墙结构上会坏,而是因为只有在适当的系统管理下才能达到足够的安全性,而且你不能SOHO路由器;而您可以使用PC和开源,维护的操作系统。

  0

好点。我从来没有见过能够绕过Linksys路由器NAT的漏洞,实际发送到未明确转发的主机。这是一件非常简单的事情。 “如果不允许,否认全部”。我不计算CSRF远程管理员的默认密码或默认密码,因为我在假设当我配置路由器时我不会是一个完全的白痴;) 13 8月. 132013-08-13 15:19:48

  0

我也在假设我安装的人不会去要登录(并与CSRF进行实时会话) 13 8月. 132013-08-13 15:33:56

  0

@sectek针对Linksys软件堆栈的一些旧版本存在远程执行漏洞,在这种情况下,防火墙配置在很大程度上是不相关的。 13 8月. 132013-08-13 16:33:04