প্রশ্ন iptables বনাম হার্ডওয়্যার ফায়ারওয়াল


আমি কোনও ওয়েব সার্ভারে সরাসরি iptables ব্যবহার করে হার্ডওয়্যার ভিত্তিক ফায়ারওয়াল বনাম সুবিধার সাথে কথা বলতে পারলে কেউ ভাবছেন।

আমি শুধুমাত্র একটি উত্পাদন বাক্সের জন্য একটি ডেডিকেটেড ফায়ারওয়াল থাকার খরচ কার্যকারিতা মূল্যায়ন করছি।


5
2017-09-10 18:13


উত্স


নকল: serverfault.com/questions/82522/... - OMG Ponies


উত্তর:


(সম্ভাব্য) পারফরম্যান্স সমস্যাগুলির থেকে অন্যথায়, মনে রাখা একটি বিষয় হল যে যদি আপনার ফায়ারওয়াল একই সার্ভারে না থাকে তবে এটি যেভাবে সুরক্ষিত হচ্ছে, যদি কেউ না ওয়েবসার্ভারে অ্যাক্সেস পান, তারা এখনও ফায়ারওয়ালের সাথে আটকাতে পারে না, অর্থাত তারা আপনার বহির্গামী নিয়মগুলি পরিবর্তন করতে পারে না।

একটি পৃথক ফায়ারওয়াল এছাড়াও আছে সেট আপ করা যেতে পারে কোন নেটওয়ার্ক মাধ্যমে এটি অ্যাক্সেস উপায়, যা আবার, তার প্রতিবন্ধকতা সঙ্গে বাধাগ্রস্ত করা থেকে বৃদ্ধি।

মনে রাখবেন, এটি একটিও পৃথক ফায়ারওয়াল সফ্টওয়্যার ফায়ারওয়ালের ক্ষেত্রেও সত্য, এটি একটি হার্ডওয়্যার হতে হবে না।


4
2017-09-10 18:17



আমি একটি পৃথক ফায়ারওয়াল ("হার্ডওয়্যার" ফায়ারওয়াল, বা আইপিটিবেল / পিএফ / ইত্যাদি একটি পৃথক বক্স চলমান) যুক্ত করেও যুক্ত করবো যা আপনার ওয়েব ট্র্যাফিকটিকে হিট করে নেওয়ার জন্য ট্র্যাফিক নেই। - voretaq7
আমি সম্মত, আমি শুধু হার্ডওয়্যার ফায়ারওয়ালগুলি সাধারণত কম চলন্ত অংশগুলি যুক্ত করব এবং মৃত্যুর প্রবণতার মতো নয় - আমার অভিজ্ঞতাতে। এছাড়াও, যদি কোনও সম্প্রসারণ চলছে তবে বক্সগুলিতে আলাদা ভূমিকা রাখতে পারে ... (ফায়ারওয়াল ফায়ারওয়াল, ওয়েব সার্ভার একটি ওয়েব সার্ভার ...) - Matt


আপনি যদি কোনও নেটওয়ার্ক ফায়ারওয়াল ব্যবহার করেন তবে পুরো নেটওয়ার্কে একটি সেগমেন্ট রক্ষার চেষ্টা করছেন এবং সফ্টওয়্যার ফায়ারওয়াল যদি আপনি একটি নির্দিষ্ট অ্যাপ্লিকেশনটি সুরক্ষিত করার চেষ্টা করছেন। হার্ডওয়্যার আপনার সামগ্রিক পরিবেশের বাইরে অনুপ্রবেশকারীদের থেকে আপনার স্থান রক্ষা করে এবং সফ্টওয়্যার আপনার পরিবেশের অন্যান্য অংশগুলি থেকেও একটি নির্দিষ্ট ফাংশন রক্ষা করে।

যে বলেন, এই ক্ষেত্রে আপনি একটি বাক্স রক্ষা করা হয়, তাই আমি সফ্টওয়্যার সঙ্গে যেতে হবে। কর্মক্ষমতা আঘাত যতক্ষণ না আপনি একাধিক ওয়েব সার্ভার বিবেচনা করা হবে যতক্ষণ না খারাপ হতে হবে, ক্ষেত্রে আপনি হার্ডওয়্যার রুট তাকান করতে চান।

এবং হ্যাঁ, অন্যত্র উল্লেখ করা হিসাবে, হার্ডওয়্যার ফায়ারওয়াল সামগ্রিকভাবে আরো নির্ভরযোগ্য হতে ঝোঁক। এছাড়াও একটি ব্যথা আরও সেট আপ এবং আপনি প্রায়ই তাদের সংশোধন করতে হবে যদি সরাসরি রাখা। সন্দেহভাজন ট্র্যাফিক থাকার সুরক্ষার নিরাপত্তা সম্পর্কিত বিষয়গুলি ওয়েব সার্ভার থেকে আলাদা একটি যন্ত্রকে ভালভাবে তৈরি করেছে, তবে আমার দৃষ্টিভঙ্গি হল যে সুরক্ষা সামগ্রিক বৃদ্ধিটি একক সার্ভারের অতিরিক্ত খরচ দ্বারা ন্যায্য নয়। (কিছু উল্লেখযোগ্য ব্যতিক্রম সঙ্গে)। একটি কার্যকর সফ্টওয়্যার ফায়ারওয়াল, কেবল সেট আপ করা এবং নিয়মিত-রক্ষণাবেক্ষণ সার্ভারে যার কোনও পরিষেবায় তার ওয়েব কার্যকারিতার জন্য প্রয়োজনীয় বাইরে অতিক্রম করা নেই, সেগুলি এই দিন স্থিতিশীল এবং সুরক্ষিত হওয়া উচিত। বা, অন্তত এটি HTTP ট্র্যাফিকের উপরে যাবলে বাফার ওভারফ্লো শোষণগুলি শুরু হওয়া পর্যন্ত এটি ফায়ারওয়াল যে কোনওভাবে ধরবে না।


0
2017-09-10 22:13





একটি রিলে ক্লিক দূরে আছে, যদি না, এটা সবসময় একটি সফটওয়্যার ফায়ারওয়াল। আপনি কেবল সফ্টওয়্যার অস্পষ্ট যে আশা করি কেউ এটি হ্যাক কিভাবে জানেন।

লিনাক্স ফায়ারওয়াল, সিস্কো পিক্স, এবং শেল্ফ কনজিউমার বাক্সগুলির বাইরে অনেক আইপিটিবেল রয়েছে। তাদের মধ্যে সবাইকে, লিনাক্স ফায়ারওয়ালগুলিতে পুনরায় বুট করার প্রয়োজনে অন্তত সমস্যা রয়েছে। সর্বাধিক সম্মতি আপটাইম 2 বছর অতিক্রম করেছে। সিস্টেমটি একটি রিবুট প্রয়োজন আগে আমি ব্যাটারী ইউপিএস সমতল যান আছে ঝোঁক।

05:35:34 আপ 401 দিন, 4:08, 1 ব্যবহারকারী, লোড গড়: 0.02, 0.05, 0.02 আমি ইউপিএস 401 দিন আগে প্রতিস্থাপিত।

30 টি সিস্কো পিক্স ফায়ারওয়ালের মধ্যে, 3 বছর পর 3 জন মারা গেছে এবং 5 প্রতি মাসে 2 বা তারও পুনরায় বুট করা হয়েছে।

"হার্ডওয়্যার" ফায়ারওয়ালগুলির বড় সুবিধা প্রায়শই কমপ্যাক্ট সাইজ এবং কোনও চলমান অংশ নয়।


0
2017-09-11 05:41





এটি ইতিমধ্যেই বলা হয়েছে - তবে আপনি যদি কেবল এক উত্পাদন বাক্সের সাথে ডিল করছেন তবে এটি একমাত্র উত্পাদন বাক্স যা আপনি সেই পরিবেশে সংকীর্ণ ভবিষ্যতে ব্যবহার করতে যাচ্ছেন এবং এটি এমন একটি বাক্স নয় যা কোনও নিয়ন্ত্রক সমস্যাগুলির সাথে মেনে চলতে হবে ( পিসিআই, ইত্যাদি) - তারপর শুধু হোস্ট ফিল্টারিং করছেন ঠিক সূক্ষ্ম হতে হবে।

আপনি অকার্যকর বা অনুরূপ কিছু উল্লেখ না, তাই সম্ভবত এটি overkill হয়।

আমি বলতে চাইছিলাম যে যদি আপনার জন্য বাজেট থাকে তবে ফায়ারওয়ালের মত একটি পৃথক বাক্সটি পান (এটি ভুল নয় ...) - তবে IMO আপনি ভাঙ্গার জন্য অতিরিক্ত সরঞ্জাম যুক্ত করতে চাইছেন - তাই যদি লোড হয় একটি উদ্বেগ না, এবং আপনি একটি ফল্ট সহনশীল সেটআপ আউট ঘূর্ণায়মান হয় না, একটি নগ্ন সার্ভার নিজেই একটি ফায়ারওয়াল প্রয়োজন হয় না।


0
2017-09-11 14:51



"একটি নগ্ন সার্ভার নিজেই ফায়ারওয়াল প্রয়োজন হয় না।" !!!! - Sunny


আমার মতে ওপেনবিডিড হল সমাধান। OpenBSD চলমান হার্ডওয়্যার একটি নিবেদিত টুকরা আছে। সেখানে আপনি আপনার ফায়ারওয়াল এবং স্টাফ কনফিগার করতে পারেন।

এটি আরও নিরাপদ কারণ ওবেনবিএসএস ফায়ারওয়াল কার্নেল স্পেসে রান করে যেখানে একটি লিনাক্স মেশিনে iptables ব্যবহারকারীর স্পেসে সঞ্চালিত হয়।


-2
2017-09-11 08:33



আপনি ঠিক ভুল। iptables kernel স্থান, যেমন পিএফ হয়। - Bill Weiss