【問題】防火牆的選擇?



贊助商連結


Adonisy
2008-05-15, 12:36 PM
小弟有一個固3 ADSL,一個 ip用來裝 web server
最近想裝防火牆,想請問各位大德的意見

下列哪個比較好(爬了文)

1.用居易當小烏龜,裡面有防火牆
2.我有台除役的電腦,上面裝BrazilFW當防火牆(可以這樣做嗎?)
3.在原本的 server 裝 軟體防火牆

我還蠻有興趣設定2的,有一台 866的電腦,上面還有 1G的 RAM可以
讓我玩,但看了很多介紹,多半是把它當做 NAT,不過我不用 NAT啊
我只要單純的 防火牆...

謝謝

贊助商連結


linux_xp
2008-05-15, 01:31 PM
3 比較好,簡單

2 也不錯,省錢,安全

怎麼個安全法呢?分析給你看

因為防火牆軟體,是在作業系統 OS 上面執行的一個軟體,或是一個 service 常駐程式,它的執行緒是建立 OS 核心之上的,如果作業系統本身核心就有漏洞,防火牆軟體是檔不了的。這就跟作業系統當機,正在跑的軟體不可能不當掉是一樣道理。

讓作業系統自動更新,多少可以保險一點,但不是絕對。因為往往所謂的更新檔、安全性修正檔,放出來之前,那個漏洞已經不知道存在多久了。知道漏洞的有心駭客,早就可以在修正之前,如入無人之境了。

基於這個現實,我們可以知道獨立的硬體防火牆是比較安全的。

硬體防火牆有兩種:
1.現成品牌的,要錢的。
2.用 PC + 防火牆路由器軟體,硬體要錢,軟體不用。

而把 BrazilFW 放在前端,它核心安不安全先不論,就算它被入侵了,也只是 BrazilFW 被入侵,並不是那台 web server 被入侵。

當然被入侵後,有可能變成跳板,繼續入侵內部網路的主機。但這點不用擔心,如同一般硬體防火牆,都是用唯讀的 Flash ROM,因為 BrazilFW 是嵌入式系統,即使駭客取得 root 權限,了不起改你的網路設定,其它什麼事也作不了。

因為比方說要 telnet?~sorry 沒有
要裝軟體?sorry~不可能
那麼什麼事也幹不了,如此精簡的 Router OS
根本沒什麼有效指令可以打
就算被入侵了,又怎麼可能成為跳板呢 XD

(不過他能給你開 DMZ 或埠轉換什麼的,就便成直接通透了,直接攻擊 web server...,不排除有這個可能性)

不確定 BrazilFW 能不能當單純的防火牆

可能要把原先給 web server 的固定 IP,給 BrazilFW,然後只接一台 web server。web server 就用private 虛擬 IP,再設埠轉換過去,讓 web server 躲在 NAT 之下。

另外 BrazilFW 若是要當防火牆用途,講究安全性,建議不要裝 scp 那些外掛,因為可以用來上傳檔案,還有 ssh 和 web 管理介面,不要對外開放,因為對外等於開窗口給人入侵。

再回過頭來討論一下 BrazilFW 核心安不安全
基本上它是 Linux 核心,且時常再更新版本
網路上有很多 Linux 伺服器,都是用 Linux 核心
如果有 bug 或漏洞,再很短時間內都會修正
但使用者自己要常注意版本,記得更新就是了
它好像還沒有作入自動更新功能
IPCOP 有自動更新的樣子
比較懶可以考慮用 IPCOP,它是強調防火牆用途的

一般市售硬體防火牆
有 Linux 核心的、BSD 核心的
也有獨自開發的 IOS 如 cisco
獨自開發的那種,因為封閉,理論上比較安全
但很多機種,它也不會跟你講核心怎麼來的,所以不好判斷
如是 Linux核心的,自己裝會比較省錢,不過要有閒功夫慢慢搞就是了

Adonisy
2008-05-15, 06:35 PM
感謝樓上的大大...

我昨天找到實用工具

pc tools 的 firewall,不但是免費的,還可以裝在 windows 2003 server
上...

所以我一高興,就順便買了他們家的反間程式....

現在看起來還蠻不錯的...擋的還蠻多的...連我自己要用電腦都
擋來擋去的....