É eficaz instalar o firewall na mesma máquina que oferece serviço?

1

Estou começando um pequeno serviço praticamente. E eu tenho servidor único atualmente. Não há dinheiro para comprar equipamento de firewall separado / dedicado agora.

É eficaz instalar um software de firewall na mesma máquina que oferece serviço de internet? Meu servidor oferecerá HTTP, NFS e SSH e software de servidor customizado em várias portas.

(editar) Todos os serviços (exceto NFS) devem estar abertos para a internet. Não serviços internos. Eu acho que minha máquina (virtualizada dentro de Xen ) está conectada à internet diretamente, porque eu posso conectar a minha máquina SSH com apenas o endereço IP.

(editar) O NFS não está aberto à internet. Desculpe pelo meu erro. O NFS será servido apenas por SSH.

    
por Eonil 09.03.2011 / 02:55

4 respostas

2

Se você tiver o cuidado de abrir suas portas apenas para o subconjunto mínimo de endereços IP que precisam acessar esses serviços (ou seja, abra aplicativos personalizados / portas NFS / SSH para apenas o menor conjunto de endereços IP que precisam acessar esses serviços ) experiência me diz que não há nenhum problema em ter sua filtragem de pacotes / firewall rodando na mesma máquina que seus serviços, protegendo-os através de um firewall externo (se estamos falando apenas de um servidor e não estamos interessados em NAT ou algum outros recursos avançados de firewall, como a inspeção de protocolo).

Então, para aqueles serviços que precisam estar abertos a toda a Internet (isto é, HTTP / S) eu sugeriria, e dependendo da sua escolha do sistema operacional, ferramentas / técnicas adicionais para minimizar o risco de ter esses serviços explorados (por causa de vulnerabilidades no software que você está usando ou erros de programação no software que você está escrevendo). Caso você esteja usando o linux / apache, modsecurity é uma ótima opção para proteger seus serviços web. No caso do IIS, a Microsoft possui seu próprio conjunto de ferramentas e ajustes para fornecer um nível equivalente de proteção.

Mas é claro que esta é apenas a minha opinião e talvez a sua melhor estratégia seja esperar para ouvir mais opiniões / experiências e depois decidir por si mesmo.

    
por 09.03.2011 / 03:22
2

Se a sua caixa for poderosa o suficiente (muita memória RAM, muito núcleo), sugiro que você use o caminho virtualização :

  • Instale um hipervisor (VMware ESXi ou Citrix XenServer - ambos têm versões gratuitas)

  • Crie 2 VMs:

    • A VM # 1 tem duas interfaces de rede: External & Interno *

    • A VM # 2 tem uma interface de rede: Interna *

  • Instalar o firewall na VM nº 1

  • Instale seu servidor na VM nº 2

** Interno aqui significa uma rede que existe somente dentro da caixa XenServer e inacessível de fora da caixa *

    
por 09.03.2011 / 04:06
1

Eu escrevi sobre essa questão recentemente em Por que eu precisaria de um firewall se meu servidor estiver bem configurado? e a comunidade parece ter, em geral, achado a resposta útil; você pode querer lê-lo.

    
por 09.03.2011 / 08:19
0

Se você estiver executando o VMWare ESX (i), eles terão appliances virtuais específicos para consolidar seu firewall no mesmo hardware que suas máquinas DMZ e privadas.

    
por 09.03.2011 / 03:50