数年前、私はファイアウォールの世界に突入し、適切なオプションを見つけなければなりませんでした。 有料/無料、オープン/クローズ、ハードウェアまたはソフトウェア。 たくさんのオプションがあります。 今日、これはすべて私の背後にあり、私は数分で設定したお気に入りのファイアウォールを長い間持っていましたが、少なくともある程度明確にすることでこの分野で働き始めたばかりの人々を助けたいと思います。 お役に立てば幸いです。
(「ファイアウォール」、ファイアウォールの作成を強制することはできません。これはアフリカのファイアウォールでもあります)。
1.最初、ファイアウォールは、ホストベースとネットワークの2種類に分類されます。 ホストベースは(既存のOSの上に)クライアントマシンに直接インストールされ、この1台のマシンのみを保護します。 これは、自宅(特にコンピューターが1台だけでモデムに直接接続されている場合)や、追加のセキュリティツールとしてネットワーク環境で便利です。
ネットワークファイアウォールはネットワーク全体を保護し、通常、このネットワークへのゲートウェイとして機能します。 ネットワークは、1台のコンピューターまたは数千台のコンピューターで構成できます。 ファイアウォールのタイプは、ネットワーク環境とニーズに応じて選択されます。
2.ネットワークファイアウォールは、PCベース(従来のコンピューターに基づく)とASICアクセラレーションの2種類に分類されます。
ASIC-特定用途向け集積回路。 これは、ファイアウォールの主要な機能がハードウェアレベルで発生するマシンを指します。 原則として、これらは非常に高価なシステムであり、そのコストはしばしば数万ドルまたは数十万ドルに達します。 通常、非常に高い帯域幅を必要とするISPのような組織で使用されます。
他のすべてのファイアウォールはPCベースです。 売り手やマーケティング担当者の手口にforしないでください。他のすべてのファイアウォールはPCベースです。
3.次に、PCベースのファイアウォールは、ディストリビューションとアプライアンス(ボックス)の2種類に分類されます。 それぞれに長所と短所があります。
配布を支持して:
-状況に応じて、ファイアウォールの下で選択できる必要なハードウェアが既にある場合があります。 または、比較的安い価格でサーバー/コンピューターを購入できます。 つまり おそらくそれは安くなります。
-コンピューターまたはサーバーを購入することができます。コンピューターまたはサーバーは、小さくても大きくてもかまいません-選択できます。
-このコンピューター/サーバーに複数のネットワークカードを追加したり、たとえばOSをRAIDアレイに配置したりできます-柔軟性。
-必要に応じて、ソフトウェアを別のサーバーに移動(再インストール)できます-モビリティ。
-サーバーのすべての技術仕様を明確に知っている。
-サプライヤへの依存度がはるかに低くなります。
アプライアンスを支持して:
-鉄を選択するとき、特に広大さを把握し、会社の成長、トラフィック量などを事前に計算しようとするときの頭痛が少ない サプライヤーの専門家は、原則として、どの特定のデバイスを品揃えから取り出す必要があるかを伝えることができ、多くの場合は正しいでしょう。
-すべてのハードウェアがすべてのディストリビューションでサポートされているわけではありません。 多くの場合、ソフトウェアは非常に厳しい「割礼」です。 新しい光沢のあるサーバーにソフトウェアをインストールすると、フォーラムの1つで、ハードウェアが完全にサポートされていないことがわかる場合があります。 さらに、そのような状況を予測することはかなり困難です。なぜなら、通常、彼らはお金がすでに使い果たされて進歩が始まったときにそれに陥るからです。
-通常、それらは「通常の」形状をしています。 小さなすっきりしたボックスまたは1Uラックマウント(サーバーラックの下)。
-原則として、それらはすでに特定の使用カテゴリに合わせて調整されています。 CPU、RAM、HDはニーズに適しており、ネットワークインターフェイスの数では標準の1Uサーバーを超えます。
-アプライアンスとしてサポートされています。 ハードウェアとソフトウェアの両方に対する1つのサポートアドレス。
-ソフトウェアのインストールに頭痛はありません。
-そして最後に、彼らはしばしば非常によく見える。
4.(現在、伝統によれば)ディストリビューションは、オープンソースとプロプライエタリの2つのタイプに分けられます。
詳細やホリバーを詳しく説明しなくても、多くの場合、プロプライエタリなソフトウェアベンダーが運営する「FUD(恐怖、不確実性、疑い)キャンペーン」に陥り、サポートなしでフリー/オープンソフトウェアの保護が不十分であると誤って考えていることがわかります。不十分な記述など もちろん、これはすべてFUDであり、それ以上のものではありません。 オープンソースのファイアウォールは、閉じた仲間と比べて品質が劣っていません。 ただし、いくつかの点に注意する必要があります。
-プログラマーでなくても、オープンソースソフトウェアの楽しさを楽しむことができます。フォーラムには、小さなパッチを書くことさえできるほど喜んで手助けしてくれる人が十分にいるからです。
-いつでもコードを調べて、コードの機能と仕組みを理解することができます。 これは多くの場合、問題の解決に役立ちます。
「一方で、クローズドソースのソフトウェアプロバイダーが(多額の費用で)サポートを提供し、特別な訓練を受けた専門家が問題の解決を支援します。」
もちろん、このタイプのサポートはオープンソースソフトウェアにも存在しますが、原則として、人々は自分で対処しようとします。
5.ここで、ファイアウォールが何のために生い茂ったのかを見てみましょう。
UTM-統合脅威管理。 実際、これは同じPCベースのファイアウォールですが、機能が追加されて拡大しています。 これは、標準の(今日の)ファイアウォール機能として追加されます:IDS / IPS、VPN、負荷分散、ルーティング、およびその他:コンテンツフィルタリング、ウイルス対策、スパム対策など。
通常、予算の少ない小規模な組織のみがUTMを使用します。 ファイアウォールの背後にあるUTM機能を備えたマシンを分離してインストールすることを強くお勧めします。
6.サーバー。 これは「すべてのサーバー処理を実行します。」 そんな鳥がいます。 彼は、ファイアウォール、メール、ftp、ファイルストレージ、および多くのものを持っています。 このような豊富な機能は信じられないほど便利ですが、セキュリティの観点からは1つの大きな穴にすぎないため、使用することはお勧めしません。
7. IDS / IPS。 シグネチャデータベースに基づいて動作し、異常を特定しようとするトラフィックアナライザーのようなもの。 IDS(侵入検知システム)はそれらの検知を試み、IPS(侵入防止システム)はそれらの停止を試みます。
現在、多くのファイアウォールにはこの機能が組み込まれているか、パッケージとして追加されています。
8. IDS / IPSはプロトコルを理解していないため、理想的ではありません。したがって、より深刻な保護のために、レイヤー7ファイアウォールが使用されます。 通常、ほとんどのファイアウォールで利用可能です。
IDS / IPSとレイヤー7ファイアウォールの両方がCPUとRAMの点で非常に貪欲であることは注目に値します。
9.機能。 ほとんどのファイアウォールはあらゆる種類のニシュティヤキを含めようとしますが、適切なマーケティングが行われていればいいですね。
このすべての機能が必要ですか? いや 部分的に必要ですか? はい したがって、あなたが必要なもの、彼らがあなたに提供するものを理解し、餌に落ちないように、そしてあなたが10年間使用しないものにお金を払わないように、各機能についてもっと読むことをお勧めします。
10.サポート。 これはファイアウォールの世界で最も重要なことの1つです。誰かがそれを処理し、クラッシュするかどうかを把握できる必要があります。 あなたが有能な従業員を持っているか、あなた自身がそのような場合、それは結構です。 そうでない場合は、支払わなければなりません。 また、ファイアウォールを購入する際には、すでにこれに注意する必要があります。 多くの場合、サポートは決して安くはありませんが、それはあなたの保証です。 この場合、リスクを負う価値はありますか?
まあ、それだけです。 何かを忘れた場合-書き込みます。
ファイアウォール-初心者向けのちょっとした理論、または購入前に知っておくべきこと
All Articles