同じネットワーク内の複数の境界ファイアウォール
現在、ファイアウォールのマルチパス接続の結果を分析しています。その文脈では、ネットワークを保護するためにネットワークの境界に複数のファイアウォールを配置することは本当に珍しいのではないかと思います。私が想像する典型的なケースは、マルチホームネットワークであり、管理者は、異なる(またはそうでない)ISPからのリンクに対して異なるポリシーを持っています。あるいは、ISPのネットワークでもそうかもしれません。
そのような構成の実際的な(不)利点は何でしょうか?複数のボーダーファイアウォールを使用した既存のトポロジの例を教えてください。
編集:特に、1つの内部エンドホストがファイアウォールのパスのいずれかを使用できる構成に興味があります。構成の目的は、内部ゾーンを互いに分離することではありません。実際、私の目標は、ファイアウォールが、複数のパスを(同時に)使用して正しく機能する可能性のあるプロトコルにどのように影響するかを確認することです。
複数のファイアウォールを持つことには価値があるかもしれません。特に彼らが非常に異なるタスクを処理している場合。ログを確認し、疑わしいネットワークトラフィックを発見する方が簡単な場合があります。
通常の食料品店と比較することができます。従業員専用の入り口が1つあり、セキュリティが高く、すべてのアクティビティがログに記録されます。次に、誰でも利用できるメインエントランスがあり、セキュリティはなく、ログはほとんどまたはほとんどありません。
しかし、それはすべてネットワーク設計に帰着します。 2つの別々のファイアウォールで役立つ場合と役に立たない場合があります。私が管理しているネットワークには、アクセスポイントごとに1つの個別のファイアウォールがあります。これは、ネットワークのセキュリティレベルがオープンから「極秘」までの範囲であり、1つのファイアウォールですべてを同時に処理しようとすると悪夢になるためです。
私たちはすべてのお客様にDebianを使用し、ゲートウェイをマルチホーム化し、IPTABLESを使用してトラフィックをロックダウンしています。これはちょっとした手回しだと思うかもしれませんが、これは私が働いている業界で広く使用されていることを私は知っています。ただし、問題は、接続制限とスループットの問題がある可能性があることです。サーバー上のNICのボンディングが役立つ場合があります。したがって、利点は安価でかなり強力ですが、欠点はLinuxボックスが処理できる接続の量にボトルネックが見つかる可能性があることです。これを確認してください- iptables-rules-examples -IPTABLESを使用して明示的なファイアウォールルールを設定する方法に非常に役立ちます。さらに、vrfとHAゲートウェイを使用できます-これはすべてCentOS 6.3で利用可能です -centos6.3 HA