Networking
擁有專用防火牆有什麼安全優勢嗎?
擁有專用防火牆而不是在路由器上建立防火牆是否有任何安全優勢?謝謝。
我認為您在這裡所說的防火牆是指基於硬體的防火牆,而不是基於軟體的防火牆,例如 Linux 中的 netfilter。
大多數(如果不是全部)路由器都支持某種類型的訪問控制列表(ACL),它可以充當防火牆。專用硬體防火牆更好,因為它們更強大(可以處理更多流量)並支持狀態檢查,並且可以具有攻擊檢測(IDS/IPS)等更高級的功能。最後,這取決於您的要求和選擇的硬體。
這在很大程度上取決於所討論的路由器。例如,Cisco Catalyst 交換機中的 ASA 服務模組具有比一些低端專用防火牆更多的功能。但是,這裡的論點是,“刀片是專用防火牆嗎? ”
專用硬體通常為您提供更好的防火牆角色功能,並包括其他外圍服務,例如:
- 入侵檢測系統/入侵防禦系統
- 更強大的應用級網關(確保 TCP/80 真的是 HTTP 而不是 SSH,諸如此類)
- VPN、IPSec 和 SSL。
- 與認證系統集成
- 代理某些應用程序流量的能力
關於讓專用設備處理您的外圍連接還有一個強有力的論據:如果外部攻擊破壞了您的邊界設備,您網路上唯一受影響的就是與外部世界的連接。