Tường lửa phần cứng Vs. Tường lửa phần mềm (Bảng IP, RHEL)

Công ty lưu trữ của tôi nói rằng IPTables là vô dụng và không cung cấp bất kỳ sự bảo vệ nào . Đây có phải là một lời nói dối?

TL; DR
Tôi có hai máy chủ cùng vị trí. Hôm qua, công ty DC của tôi đã liên lạc với tôi để nói với tôi rằng vì tôi đang sử dụng tường lửa phần mềm nên máy chủ của tôi "dễ bị tấn công, nhiều mối đe dọa bảo mật quan trọng" và giải pháp hiện tại của tôi cung cấp "Không bảo vệ khỏi mọi hình thức tấn công".

Họ nói rằng tôi cần có một tường lửa chuyên dụng của Cisco (cài đặt 1000 đô la sau đó 200 đô la mỗi tháng ) để bảo vệ máy chủ của tôi. Tôi luôn có ấn tượng rằng, trong khi tường lửa phần cứng an toàn hơn, một cái gì đó như IPTables trên RedHat cung cấp đủ bảo vệ cho máy chủ trung bình của bạn.

Cả hai máy chủ chỉ là máy chủ web, không có gì quan trọng đối với chúng nhưng tôi đã sử dụng IPTables để khóa SSH chỉ địa chỉ IP tĩnh của mình và chặn mọi thứ trừ các cổng cơ bản (HTTP (S), FTP và một số dịch vụ tiêu chuẩn khác ).

Tôi sẽ không nhận được tường lửa, nếu ether của các máy chủ bị hack thì đó là một sự bất tiện nhưng tất cả những gì họ chạy là một vài trang web WordPress và Joomla vì vậy tôi chắc chắn không nghĩ nó đáng tiền.

Tường lửa phần cứng cũng đang chạy phần mềm, sự khác biệt thực sự duy nhất là thiết bị được xây dựng và dành riêng cho nhiệm vụ. Tường lửa phần mềm trên máy chủ có thể an toàn như tường lửa phần cứng khi được cấu hình đúng cách (lưu ý rằng tường lửa phần cứng thường 'dễ dàng' hơn để đạt đến mức đó và tường lửa phần mềm 'dễ dàng' hơn để bắt vít).

Nếu bạn đang chạy phần mềm lỗi thời, có thể có một lỗ hổng đã biết. Mặc dù máy chủ của bạn có thể dễ bị ảnh hưởng bởi vectơ tấn công này, nói rằng nó không được bảo vệ là viêm, gây hiểu lầm hoặc nói dối đậm (phụ thuộc vào chính xác những gì họ nói và ý nghĩa của chúng). Bạn nên cập nhật phần mềm và vá bất kỳ lỗ hổng đã biết nào bất kể xác suất khai thác.

Nói rằng IPTables là không hiệu quả là tốt nhất gây hiểu lầm . Mặc dù một lần nữa, nếu một quy tắc là cho phép mọi thứ từ tất cả đến tất cả thì ừ, nó sẽ không làm gì cả.

Lưu ý bên lề : tất cả các máy chủ cá nhân của tôi đều được cung cấp FreeBSD và chỉ sử dụng IPFW (tường lửa phần mềm tích hợp). Tôi chưa bao giờ có vấn đề với thiết lập này; Tôi cũng theo dõi các thông báo bảo mật và chưa bao giờ thấy bất kỳ vấn đề nào với phần mềm tường lửa này.
Trong công việc, chúng tôi có bảo mật trong các lớp; tường lửa cạnh lọc ra tất cả các crap rõ ràng (tường lửa phần cứng); tường lửa nội bộ lọc lưu lượng truy cập xuống cho các máy chủ hoặc vị trí riêng lẻ trên mạng (kết hợp chủ yếu là tường lửa phần mềm và phần cứng).
Đối với các mạng phức tạp thuộc bất kỳ loại nào, bảo mật trong các lớp là thích hợp nhất. Đối với các máy chủ đơn giản như của bạn, có thể có một số lợi ích trong việc có tường lửa phần cứng riêng, nhưng khá ít.

Tự chạy tường lửa trên máy chủ được bảo vệ sẽ kém an toàn hơn so với sử dụng máy tường lửa riêng. Nó không phải là một tường lửa "phần cứng". Một máy chủ Linux khác được đặt làm bộ định tuyến với IPTables sẽ hoạt động tốt.

Vấn đề bảo mật với tường lửa trên máy chủ được bảo vệ là máy có thể bị tấn công thông qua các dịch vụ đang chạy. Nếu kẻ tấn công có thể có quyền truy cập cấp gốc, tường lửa có thể được sửa đổi hoặc vô hiệu hóa hoặc bỏ qua thông qua một bộ công cụ root kernel.

Một máy tường lửa riêng biệt sẽ không có dịch vụ nào chạy ngoại trừ quyền truy cập SSH và quyền truy cập SSH phải được giới hạn trong phạm vi quản trị IP. Tất nhiên, nó tương đối không thể bị tấn công, chặn các lỗi trong quá trình triển khai IPTables hoặc ngăn xếp TCP.

Máy tường lửa có thể chặn và ghi lưu lượng truy cập mạng không tồn tại, cung cấp cho bạn cảnh báo sớm về các hệ thống bị bẻ khóa.

Nếu lưu lượng truy cập của bạn thấp, hãy thử một đơn vị Cisco ASA nhỏ như 5505 . Đó là trong phạm vi $ 500- $ 700 và được xây dựng có mục đích. Các co-lo là sắp xếp cho bạn BS, nhưng tỷ lệ của họ cho tường lửa cũng không hợp lý.

Tôi nghĩ nó cũng phụ thuộc vào hiệu suất. Những gì một tường lửa dựa trên phần mềm / máy chủ sử dụng chu kỳ CPU, tường lửa phần cứng có thể làm với các chip được xây dựng có mục đích (ASIC) dẫn đến hiệu suất và thông lượng tốt hơn.

Từ góc nhìn của bạn, sự khác biệt thực sự giữa tường lửa "phần mềm" (trên chính máy) và "phần cứng" là trong trường hợp đầu tiên, lưu lượng truy cập đã ở trong máy bạn muốn bảo vệ, do đó, nó có khả năng dễ bị tổn thương hơn nếu có thứ gì đó bị bỏ qua hoặc cấu hình sai.

Tường lửa phần cứng về cơ bản hoạt động như một bộ lọc trước, chỉ cho phép lưu lượng truy cập cụ thể tiếp cận và / hoặc thoát khỏi máy chủ của bạn.

Với trường hợp sử dụng của bạn, và tất nhiên giả sử rằng bạn có bản sao lưu phù hợp, chi phí thêm sẽ rất khó để biện minh. Cá nhân tôi sẽ tiếp tục với những gì bạn có, mặc dù có lẽ sử dụng một công ty lưu trữ khác.

Muộn trò chơi này. Vâng, nhà cung cấp dịch vụ không biết họ đang nói về cái gì. Nếu bạn là quản trị viên IPTABLES có thẩm quyền, tôi sẽ nói rằng bạn an toàn hơn so với tường lửa phần cứng bên ngoài. Lý do là khi tôi đã sử dụng chúng, giao diện gee-whiz đẹp không phản ánh cấu hình thực tế của lưu lượng được phép đi qua. Các nhà cung cấp cố gắng làm cho mọi người câm lặng. Tôi muốn biết về mọi khả năng của mọi gói tin đi vào.

IPTABLES không dành cho tất cả mọi người, nhưng nếu bạn nghiêm túc về bảo mật, bạn muốn càng gần dây càng tốt. Bảo vệ một hệ thống rất dễ dàng - kỹ thuật đảo ngược tường lửa hộp đen thì không.