Jump to content

ACL или firewall

Milon
 Share

Recommended Posts

Milon

Milon

Posted
Posted

возник спор с руководством:как лучше организовать защиту серверов - через Acces-list на роутере или настроить firewall на серверах.

лично я против написания огромных аксес-листов на циске, т.к это дает серьезную нагрузку на проц и затрудняет анализ конфига. а логи файрволла можно легко и просто анализировать, и контроллировать. у главного инженера противоположная точка зрения.

как делаете Вы?

Nailer

Nailer

Posted
Posted
возник спор с руководством:как лучше организовать защиту серверов - через Acces-list на роутере или настроить firewall на серверах.

лично я против написания огромных аксес-листов на циске, т.к это дает серьезную нагрузку на проц и затрудняет анализ конфига. а логи файрволла можно легко и просто анализировать, и контроллировать. у главного инженера противоположная точка зрения.

как делаете Вы?

Защиту серверов надо организовывать путем установки полноценного statefull firewall перед серверной фермой.

Milon

Milon

Posted
  • Author
Posted

циска внешняя 7206. серверов полтора десятка - вэб, почта разная, днс, ну и проч.проч.

т.е. я так понимаю, рекомендуете вообще внешний файрволл организовать, в виде отдельной железки?

Nailer

Nailer

Posted
Posted
циска внешняя 7206. серверов полтора десятка - вэб, почта разная, днс, ну и проч.проч.

т.е. я так понимаю, рекомендуете вообще внешний файрволл организовать, в виде отдельной железки?

Вообще я рекомендую к проектам по безопасности подходить комплексно и с глубокой проработкой, иначе будет трудно добиться действительно высокого уровня безопасности.

 

Навскидку я рекомендую вам организовать демилитаризованую зону, закрыв ее от внутренней и внешних сетей файрволлом. Из файрволлов рекомендую посмотреть Cisco ASA5520, например. Он также имеет встроенный IDS/IPS.

Milon

Milon

Posted
  • Author
Posted (edited)

спасибо за информацию. постораюсь пробить

но! Cisco ASA5520 - это все таки дороговато.

 

P.S. почитал. считаю - не оправдано в нашей ситуации. обеспечение безопасности не является самоцелью.

Edited by Milon
Nailer

Nailer

Posted
Posted
спасибо за информацию. постораюсь пробить

но! Cisco ASA5520 - это все таки дороговато.

 

P.S. почитал. считаю - не оправдано в нашей ситуации. обеспечение безопасности не является самоцелью.

 

Вы траффик так и не написали.

 

Насчет самоцели улыбнуло. До самоцели с одним файрволлом вам еще очень и очень далеко.

Как вариант - посмотрите ASA5510 или PIX515.

Milon

Milon

Posted
  • Author
Posted

мы активно строимся, траффик только начинает расти. в прошлом месяце мы сделали порядка 80гиг. пользователей около сотни + юр лица. дальше будет больше.

на отдельную циску денег выделить отказались. :(

ksm

ksm

Posted
Posted
возник спор с руководством:как лучше организовать защиту серверов - через Acces-list на роутере или настроить firewall на серверах.

лично я против написания огромных аксес-листов на циске, т.к это дает серьезную нагрузку на проц и затрудняет анализ конфига. а логи файрволла можно легко и просто анализировать, и контроллировать. у главного инженера противоположная точка зрения.

как делаете Вы?

Вообще лучше делать и там, и там. Вынести сервера на отделный interface и на нем ACL'ем отрезать неиспользуемые порты (точноее прописать доступ только к явно к нужным сервисам). А уже на самих серверах firewall'ом дописать фильтрацию (возможно и по контенту)

Milon

Milon

Posted
  • Author
Posted (edited)
Вообще лучше делать и там, и там. Вынести сервера на отделный interface и на нем ACL'ем отрезать неиспользуемые порты (точноее прописать доступ только к явно к нужным сервисам). А уже на самих серверах firewall'ом дописать фильтрацию (возможно и по контенту)

так и делаем. но, в период становления приходится по 5 раз на дню редактировать ACL. то в сторону одного сервера, то в сторону другого. фтп открыть/закрыть, телнет открыть/закрыть.... вот я хочу это скинуть на администратора серверов - пусть открывает себе сам все что хочет, и думает сам как организовать защиту.

однако, есть не согласные с моей точкой зрения.

Edited by Milon
ksm

ksm

Posted
Posted

 

Вообще лучше делать и там, и там. Вынести сервера на отделный interface и на нем ACL'ем отрезать неиспользуемые порты (точноее прописать доступ только к явно к нужным сервисам). А уже на самих серверах firewall'ом дописать фильтрацию (возможно и по контенту)

так и делаем. но, в период становления приходится по 5 раз на дню редактировать ACL. то в сторону одного сервера, то в сторону другого. фтп открыть/закрыть, телнет открыть/закрыть.... вот я хочу это скинуть на администратора серверов - пусть открывает себе сам все что хочет, и думает сам как организовать защиту.

однако, есть не согласные с моей точкой зрения.

Тут есть такая проблема - в серверах рано или поздно находят дыры (особенно через http) и ломают, попутно отключая запущенный на этом же сервере firewall. А если еще и циска ничего не блокирует, тогда вообще можно с вашим серверов делать что угодно ...

Milon

Milon

Posted
  • Author
Posted

ок. убедительно.

но все таки интересна статистика и практика. кто и как.

а Cisco ASA5520 - это мечта :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.