我在防火墙后面有一台服务器。它运行Web应用程序(Apache Tomcat下的Java servlet)并仅响应端口443(HTTPS)。所提供的页面中没有脚本代码 - 表单使用HTTP POST接收表单,处理数据(使用适当的输入过滤),然后输出HTTP结果页面。
我目前正在使用设备防火墙,但它是“硬件无限”。我一直在寻求升级到更“工业强度”的解决方案,但供应商非常坚持我购买他们的“深度包检测”软件的订阅。他声称即使是网络服务器也需要这种保护。
我不相信,但没有安全背景可以确定。防火墙位于“世界”和我的服务器之间,并使用“端口转发”仅允许端口443和22(用于维护)到达服务器。
那么 - 我真的需要这种深度包检测吗?
答案 0 :(得分:2)
鉴于您感兴趣的唯一协议(ssh和https)是“在连接时协商加密”,标准防火墙在此之后几乎无法检查。建立SSL / SSH会话后,防火墙将只能看到加密的数据包。询问您的供应商在这种情况下检查他们的产品。
或者,设备可能更像代理 - 它在连接到您的真实服务器之前充当连接的服务器端端点 - 在这种情况下,产品可能是如果防火墙真的像你说的那样“端口转发”,情况并非如此。同样,您的供应商应该能够解释他们的设备如何运作。
此外,您可能想询问检查系统要防范的漏洞/风险。例如:它注意SQL注入吗?它是针对特定平台的吗? (例如,如果您的Web服务器在SPARC CPU上运行,那么检查x86 shellcode的URL几乎没有意义。)
答案 1 :(得分:1)
作为一名网络安全专业人士,这对我来说听起来有点过分了。
Martin Carpenter的回答是100%的目标。无论何时考虑安全性,您都需要了解
对于只允许在2个端口上进行加密,经过身份验证的通信的应用程序,我只能看到一些漏洞:
我也同意,向供应商询问“深度数据包检查”对他意味着什么以及您的特定情况需要它的原因是个好主意。除非你得到一个具体的,知识渊博的答案,用外行人的术语,对你有意义,我会去其他地方。没有流行语就无法简单解释网络安全问题。
答案 2 :(得分:1)
在几个方面更新......
首先 - 我现在有理由相信OTS硬件产品的部分片状是低功耗CPU和不足的缓冲存储器的组合。在几周的日志记录和一些崩溃中,崩溃前日志中没有条目,但我根据日志控件记录了所有内容。与另一家防火墙供应商交谈时,有人表示可能会建议缓冲区填充速度超过在大量使用时可以清空的速度。这与调查结果一致 - 最常用的IP是经常崩溃的IP。
所以我查了一下,防火墙确实打开了一些深度数据包检查。我已经把它关掉,看看事情是否有所改善。
防火墙在我的网络场景中的主要目的是“守门员”。也就是说,我希望防火墙能够阻止除http,https和某些ssh以外的所有流量超出WAN端口。由于防火墙内没有用户,因此内部产生的任何流量都来自我的应用程序,可以被允许使用。
与一家供应商的进一步谈判表明他们不再需要进行深度数据包检查 - 另一位研究员只是试图在有问题的单位上“追加”我。我还发现,如果不花一大笔钱,他们的硬件就不会真正做到我想要的一切。
我现在正在认真探索使用OpenBSD和PF防火墙以经济高效的方式完成我所需的工作。