1

ファイアウォールの背後にサーバーがあります。Web アプリケーション (Apache Tomcat の下の Java サーブレット) を実行し、ポート 443 (HTTPS) にのみ応答します。提供されるページにスクリプト コードはありません。フォームは HTTP POST を使用してフォームを受信し、(適切な入力フィルタリングを使用して) データを処理し、HTTP 結果ページを出力します。

現在、アプライアンス ファイアウォールを使用していますが、これは「ハードウェア フレーキー」です。より「産業用強度」の高いソリューションへのアップグレードを検討していますが、ベンダーは「ディープ パケット インスペクション」ソフトウェアのサブスクリプションを購入するよう強く求めています。彼は、Web サーバーでさえこの種の保護が必要であると主張しています。

確信は持てませんが、確かなセキュリティの背景がありません。ファイアウォールは「世界」と私のサーバーの間に位置し、「ポート転送」を使用して、ポート 443 と 22 (メンテナンス用) のみがサーバーに到達できるようにします。

では、このディープ パケット インスペクションが本当に必要なのか、そうでないのか?

4

3 に答える 3

2

関心のある唯一のプロトコル (ssh と https) が「接続時に暗号化をネゴシエートする」ことを考えると、標準のファイアウォールがその時点以降に検査できるものはほとんどありません。SSL/SSH セッションが確立されると、ファイアウォールは暗号化されたパケットのみを認識します。このコンテキストで製品が何を調べているかをベンダーに尋ねてください。

または、デバイスがプロキシのように動作する可能性があります。実際のサーバーに中継する前に、接続のサーバー側のエンドポイントとして機能します。この場合、製品はより深い処理を行う可能性があります。 、あなたが言うようにファイアウォールが本当に「ポート転送」である場合、これは当てはまりません。繰り返しになりますが、ベンダーは自社のデバイスがどのように動作するかを説明できる必要があります。

また、検査システムが保護することを意図している脆弱性/リスクについて質問することもできます。例: SQL インジェクションを監視しますか? 特定のプラットフォームを対象としていますか? (たとえば、Web サーバーが SPARC CPU で実行されている場合、x86 シェルコードの URL を調べてもほとんど意味がありません)。

于 2008-11-22T11:55:53.447 に答える
1

ネットワーク セキュリティの専門家として、これはやり過ぎのように思えます。

Martin Carpenter の答えは 100% 的を射ています。セキュリティを検討するときはいつでも、理解する必要があります

  • 確保しているもの、
  • に対して保護しているのか、
  • 攻撃の可能性、および
  • 攻撃が成功した場合のリスク。

2 つのポートのみで暗号化され、認証された通信のみを許可するアプリケーションの場合、いくつかの脆弱性しか確認できません。

  • サービス拒否 (DOS) は、ファイアウォールがこれらの攻撃をブロックしない限り、常に脅威です。
  • 他のポートでリッスンしている他のアプリケーションがあるかもしれませんが、単純なポート スキャン プログラムでそれらを検出できます。
  • ユーザーまたは不正なアプリケーションが承認されていないサーバーへの通信を開始するのを防ぐために、アウトバウンド通信を制限したい場合があります。

また、「ディープ パケット インスペクション」がベンダーにとって何を意味するのか、特定の状況でそれが必要な理由をベンダーに尋ねるのも良い考えだと思います。素人の言葉で、あなたにとって意味のある具体的で知識豊富な答えが得られない限り、私は他の場所に行きます. ネットワーク セキュリティについて、流行語なしで簡単に説明できないものはありません。

于 2008-11-23T04:38:13.957 に答える
1

いくつかの面で更新...

まず、OTS ハードウェア製品の脆弱性の一部は、低電力の CPU と不十分なバッファ メモリの組み合わせであると信じるに足る理由があります。数週間のロギングといくつかのクラッシュで、クラッシュ前のログにはエントリがありませんが、ログ コントロールに従ってすべてをログに記録しています。別のファイアウォール ベンダーに問い合わせたところ、使用頻度が高い場合は、バッファが空になるよりも早くいっぱいになる可能性があることが示されました。これは調査結果と一致しています。最も使用されている IP は、最も頻繁にクラッシュする IP です。

確認したところ、ファイアウォールでディープ パケット インスペクションが有効になっていました。状況が改善するかどうかを確認するためにオフにしました。

私のネットワーク シナリオにおけるファイアウォールの主な目的は、「ゲートキーパー」です。つまり、ファイアウォールで、http、https、および一部の ssh を除くすべてのトラフィックが WAN ポートを超えないようにする必要があります。ファイアウォールの内側にはユーザーがいないため、内側から生成されたトラフィックはアプリケーションから送信され、外部に許可されます。

あるベンダーとのさらなる話し合いは、ディープ パケット インスペクションがもはや必要ではないことを示しました。また、彼らのハードウェアは、多額のお金を費やさなければ、私が望むすべてのことを実際には実行できないこともわかりました.

私は現在、OpenBSD と PF ファイアウォールを使用して、費用対効果の高い方法で自分のやりたいことを実行することを真剣に検討しています。

于 2008-12-04T22:10:59.397 に答える