Необходимы локальные брандмауэры


3

Имеет ли локальные брандмауэры, включенные на машинах, действительно необходимые, если вы используете аппаратные брандмауэры, такие как pfsense или netgear fvs338, и используете это для управления входящими/исходящими соединениями?

Я лично не вижу, как межсетевой экран локально добавляет какой-либо тип защиты (при условии, что никаких инфекций не происходит), а затем просто еще один уровень ACL.

  0

Это не стоит отвечать, но если вы хотите иметь контроль доступа к сети внутри подсети, то локальные брандмауэры - это путь. 09 авг. 132013-08-09 14:10:13

  0

Это для настольной/серверной платформы или что-то более мобильное, как ноутбук? В последнем случае вам обязательно нужно использовать технологии на основе хоста, поскольку ваш домашний маршрутизатор/брандмауэр не может защитить вас на ходу. 01 дек. 142014-12-01 17:38:55

3

Брандмауэры на базе хоста не являются , если у вас есть выделенный сетевой брандмауэр.

Однако, defence in depth - это всегда хорошая практика. Брандмауэры, основанные на хосте, позволяют вам управлять более мелким зерном на основе машины, а также позволяют фильтровать трафик, поступающий из внутренних сетей. Это может быть отличным преимуществом в предотвращении компрометации одной взломанной машины в вашей сети от остальной части вашей сети.

+2

Знание процесса также позволяет лучше фильтровать использование разрешенных протоколов. Вы не хотите, чтобы ImAVirus.exe мог использовать какой-либо разрешенный сетевой протокол для связи. 09 авг. 132013-08-09 13:48:24

  0

@Terry, но не правда ли, что сетевые брандмауэры не могут блокировать разъедающие исходящие соединения? 15 авг. 132013-08-15 20:41:24


1

Брандмауэры, основанные на хосте, являются единственными брандмауэрами, которые имеют доступ к тому, какой процесс пытается получить доступ к сети. Это зависит от того, насколько ограничительным может быть ваш аппаратный брандмауэр, но если он не является действительно ограничительным, вредоносное ПО в сети может претендовать на то, чтобы быть законным сервисом или даже использовать протокол законной службы для связи. В этих случаях брандмауэр на базе хоста будет иметь гораздо больше шансов остановить угрозу.

Это не поможет, если вредоносное ПО использует фактический процесс для авторизованной службы, но если вредоносное ПО начинает пытаться отправлять собственные сообщения электронной почты или Skype или что-то в этом роде, тогда брандмауэр на основе хоста предотвратит если только процесс не разрешен.

Таким образом, хотя хороший аппаратный брандмауэр может снизить преимущества брандмауэров на базе хоста, он не удаляет его полностью.


2

В хорошо спроектированной операционной системе с надлежащим обслуживанием отсутствует процесс, который запускает и предлагает услуги, и подразумевает различные действия, за исключением тех, которые строго необходимы для того, что системный администратор и пользователь намереваются использовать.

К сожалению, настольные ОС выросли далеко от точки, где такая эффективная простота может быть реалистично достигнута. Вы должны справляться с ОС, включая множество недокументированных элементов и действий, некоторые из которых подразумевают сетевую активность, в частности, слушая входящие запросы на каком-то порту и тем самым предлагая услуги аутсайдерам. Это хорошая идея сделать инвентаризацию того, что работает на вашем компьютере, и попытаться отслеживать такие нежелательные элементы (посмотрите на список процессов, также посмотрите на открытые порты с netstat -a и т. Д.).

Однако также хорошая идея для обеспечения строгой политики в/из-за всего, что связано с сетью, в случае, если вы не сделали полную очистку. A брандмауэр - это то, что обеспечивает эту политику в/из. Ваш внешний аппаратный брандмауэр заблокирует все действия , которые проходят через него, но он может не видеть активность, связанную с локальной сетью (и системы Windows делают это много, со всеми NetBIOS). A локальный брандмауэр, являющийся локальным, может видеть каждый байт, который входит в выход из машины, поэтому он более тщателен для обнаружения нежелательной активности.

С другой стороны, внешний брандмауэр будет более эффективным при блокировании атак, нацеленных непосредственно на реализацию низкоуровневых сетевых протоколов; локальный брандмауэр начинает действовать только после того, как IP-пакет принят и некоторая обработка уже произошла в ядре ОС, поэтому слишком поздно для типа атаки, которая использует переполнение буфера в ядре. В этом смысле внешний брандмауэр и локальный брандмауэр дополняют друг друга. Они оба могут делать то, чего не может сделать другое, даже если есть частичное перекрытие в их соответствующих функциях.