Нужно ли сети за брандмауэром NAT \ modem использовать брандмауэр?


1

Будет ли это оправдано для бизнеса, который находится за SOHO-маршрутизатором \ WIFI для запуска брандмауэра, такого как PFSense, или возможностей брандмауэра в маршрутизаторе «достаточно хорошо».

По большей части маршрутизатор действует как NAT со всеми заблокированными портами, если явно не перенаправлен. Большинство из них даже позволяет вам блокировать исходящие порты. Это основная часть того, для чего нужен брандмауэр.

Так скажите мне, какие другие возможности или «необходимые функции» выйдет из запуска «реального» брандмауэра в дополнение к их NAT-маршрутизатору и почему бы его купить.

2

Маршрутизаторы, внутренние, компьютеры. Они запускают операционную систему (часто производную от Linux или VxWorks) с кодом. Как и любая существенная часть программного обеспечения, у них есть ошибки, некоторые из которых являются удаленно доступными. Тем не менее, в отличие от компьютеров, они редко обновляются, поэтому любые дыры в безопасности, которые они имеют, как правило, долговечны. И это без учета более основных проблем, таких как default admin passwords.

Хотя, концептуально, маршрутизатор может быть ваш брандмауэр и, таким образом, любой другой брандмауэр будет излишним, вы бы хорошо рекомендуется запустить дополнительный защитный слой, например, как маленький компьютер с двумя локальных сетей интерфейсов, действуя как маршрутизатор/брандмауэр, с Unix-подобной операционной системой (например, Linux или BSD). Важным моментом здесь является обслуживание : не рассматривайте коробку как непрозрачное устройство, которое необходимо установить, а затем забыли. У вас есть для проверки обновлений безопасности, предпочтительно ежедневно.

Поэтому я рекомендую установить еще один брандмауэр в дополнение к вашему маршрутизатору SOHO, а не потому, что маршрутизатор будет структурно плохим при брандмауэре, но поскольку адекватная безопасность достигается только при правильном применении системного администрирования, и вы не можете это сделать с помощью Маршрутизатор SOHO; в то время как вы можете использовать ПК и операционную систему с открытым исходным кодом.

  0

Хорошие баллы. Я никогда не видел эксплойта, который смог обойти NAT-маршрутизатор linksys, чтобы на самом деле маршрутизировать на хост, который явно не перенаправлен. Это очень простая вещь. «отрицать все, если не разрешено». Я не считаю, что CSRF удаленный административный пароль или пароль по умолчанию, потому что я работаю в предположении, что когда я настраиваю маршрутизатор, я не буду полным идиотом;) 13 авг. 132013-08-13 15:19:48

  0

Я также работаю в предположении, что кто бы я ни установил это, (и наличие живого сеанса для CSRF) 13 авг. 132013-08-13 15:33:56

  0

@sectek Эксперименты с удаленным выполнением существуют для некоторых старых воплощений программного стека программ Linksys, конфигурация брандмауэра в большинстве случаев не имеет значения. 13 авг. 132013-08-13 16:33:04