تفاوت فایروال روتر با فایروال سیستم عامل چیست؟


پاسخ 1:

فایروال روتر سیاستهای دسترسی عمومی را بر اساس ترافیک ورودی و خروجی اعمال می کند. به طور معمول ، چیزی جز آدرس tupl و پروتکل IP (مانند TCP ، UDP) از هر دو جهت را نمی فهمد. به طور معمول نمی تواند در برابر نقض پروتکل در جایی که یک نوع پروتکل (به عنوان مثال اشتراک فایل به همتا) از طریق اتصالات شبکه مقصد برای دیگری ارسال شده یا در پروتکل دیگری تونل می شود ، محافظت کند. همچنین ظاهری واضح به شبکه شما ارائه می دهد ، اما از تهدید در پشت دیوار آتش مانند کامپیوتر آلوده اتاقی شما محافظت نمی کند.

فایروال سیستم عامل می تواند از حفاظت بسیار دقیق تری استفاده کند. این می تواند خط مشی هایی را صادر کند که در هر درخواست اعمال می شود و نه فقط برای استفاده از آدرس های مشاهده شده. در ویندوز ، معمولاً وقتی یک برنامه برای اولین بار از شبکه استفاده می کند ، اخطار داده می شود ، در حالی که ممکن است یک فایروال روتر اجازه دهد ، آن را وتو کنید. این مکانیسم های حفاظتی برای ترافیک شبکه داخلی و خارجی نیز در دسترس هستند.

همچنین یک فایروال سیستم عامل می تواند جزئیات دقیق تری برای ترافیک شبکه ورودی و خروجی مسدود شده وارد کند. از طرف دیگر ، فایروال روتر ممکن است پروتکل هایی را ارائه ندهد که بتوانید از آنها استفاده کنید تا تشخیص دهید که چرا اتصالات یا ترافیک شبکه مطابق آنچه انتظار می رود کار نمی کنند.

در دنیای ایده آل ، یک فایروال روتر کافی خواهد بود. در عمل ، ایمن ترین (هرچند راحت ترین) برای داشتن هر دو نوع فایروال روتر و میزبان.


پاسخ 2:

هر دو یکسان هستند اما در نقاط مختلف شبکه.

فایروال سیستم عامل (به طور خاص ، فایروال میزبان) در سیستم عامل کاربر نهایی یا سرور موجود است. ویندوز آن را از XP Service Pack 2 ساخته شده است (فکر می کنم) ، مشابه OSX ، لینوکس از زمان معرفی آن تا به حال این کار را داشته است.

"فایروال روتر" ، همانطور که آنرا می نامید ، فقط یک فایروال بین مسیر هر دو انتهای ارتباط است.

فایروال چیزی بیش از خدمتی نیست که انواع ترافیک را بررسی و مسدود می کند یا اجازه می دهد. جایی که این اتفاق بیفتد ، بی ربط است.

فایروال های سیستم عامل در حال پیروی از مفهوم "دفاع عمیق" هستند. تقریباً گویی که آنها چندین سنگر مانند در جنگ جهانی اول دارند. اگر خط اول نقض شود ، برای همه رایگان نیست. نوعی "همه تخم های خود را در یک سبد قرار ندهید". بله ، شما در شرکت خود فایروال بزرگی دارید ، اما اگر این دیوار آتش به خطر بیفتد ، همچنان فایروال هاست میزبان را به عنوان آخرین خط دفاعی خود دارید.

در برخی شرایط ، شما نمی توانید برای کنترل ترافیک به دیوار آتش فیزیکی خود تکیه کنید. به یک کارت ویزیت فکر کنید که در داخل کشور ترافیک کمی را به شما تحویل می دهد. یا چگونه این اتفاق در تولید در مکان های خاصی که در آن کار می کردم رخ داده است: vlans مشترک بین مناطق امنیتی برای خدمات مشترک در یک محیط میزبانی.

نکته این است: بعضی اوقات مواردی وجود دارد که فقط می توانید این کار را با فایروال هاست مانند IPTables انجام دهید. اما باید آخرین راه حل باشد ، نه اولین سلاح انتخابی.


پاسخ 3:

برای تکمیل برخی از جوابهای قبلاً عالی ، دوست دارم به دو نوع فایروال به عنوان فایروال های زیرساختی و فایروال های نقطه پایانی فکر کنم. نقش روتر زیرساختی استفاده از خط مشی های فیلتر در هنگام عبور و مرور از طریق دستگاه است و اولین سطح محافظت را برای همه دستگاه های نقطه انتهایی در شبکه فراهم می کند. نقش فایروالهای نقطه پایانی اعمال دستورالعملهای فیلتر برای ترافیک ورودی به نقطه انتهایی است. این به همه توانایی منحصر به فردی را می دهد که دیگری که معمولاً ندارد.

بیایید یک مثال ساده از ترافیک برنامه ها بگیریم و ببینیم که چگونه می تواند روی آن تأثیر بگذارد من به پروتکل Remote Desktop (RDP) نگاه می کنم ، که می تواند برای نمایش یک دسک تاپ از رایانه دیگر در شبکه از راه دور استفاده شود. اگر این دو سیستم "در داخل فایروال" باشند ، یعنی در یک شبکه یا شبکه هایی که نیازی به عبور از فایروال زیرساخت ها ندارند ، ممکن است بخواهید با استفاده از فایروال های endpoint (رایانه) این ترافیک را مجاز کنید. باز کنید تا اجازه دهید این ترافیک انجام شود. بسته به نرم افزار فایروال endpoint ، می توانید دقیقاً مشخص کنید که از طریق RDP به کدام رایانه هایی دسترسی دارید که به سیستم خود دسترسی پیدا کنید. برای سایر فایروال های میزبان ، فقط می توانید آنها را برای هر کسی یا هر کس دیگری باز کنید. اگر در وضعیت دوم قرار دارید و هیچ فایروال زیرساختی وجود ندارد که شما را از سایر شبکه ها محافظت کند ، بیش از آنچه در نظر داشتید نقطه انتهایی خود را برای WAY باز کرده اید. در بدترین حالت ، شما آن را به طور کلی به اینترنت باز کرده اید (با این حال ، به یادداشت شماره 1 در زیر مراجعه کنید).

اینجاست که یک فایروال زیرساختی بازی می کند. سپس دستورالعملهای کلی را برای انتقال داده ها به دیوار آتش نشان می دهید. برای سیستمهای خاص (تعریف شده توسط آدرسهای IP مقصد ، پروتکل (TCP / UDP) و شماره درگاه) ، ترافیک خاص برای کلیه سیستمها یا کل ترافیک می توانید ترافیک خاصی داشته باشید (معمولاً توسط آدرسهای IP منبع تعریف شده است). سیستمهای خاصی را مجاز کنید از نظر فنی می توانید برای همه سیستم ها امکان عبور و مرور را فراهم کنید ، اما در این مرحله چنین روتر زیرساختی دیگر مفید نیست.

مدتی است که استفاده از بازرسی بسته های عمیق (DPI) برای فایروال ها لایه محافظ دیگری را برای شرکت ها فراهم کرده است ، زیرا همچنین بار بار ترافیک داده ها را بررسی می کند و ترافیک داده های مخرب شناخته شده را فیلتر می کند که در غیر این صورت آنها فقط می توانستند براساس داده های موجود در فایروال استاندارد عبور دهند. قوانین (البته افزایش روزافزون SSL / TLS برای رمزگذاری ترافیک ، این سطح از محافظت در سطح زیرساخت ها را برای بسیاری از انواع ترافیک - به ویژه HTTPS) از بین برده است. برای فیلتر کردن ترافیک قبل از رسیدن به سیستم دسک تاپ شما.

یکی از آسیب پذیری های موجود در روترهای زیرساختی این است که یک بازیگر مخرب که قادر به سوء استفاده از آسیب پذیری ها در یک پروتکل / برنامه است که به آنها امکان دسترسی کامل به سیستم نهایی شما را می دهد به طور کلی محافظت کمی در برابر آنها انجام می دهد. ، اگر او از دستگاه سیستم بهره برداری شده به عنوان نقطه شروع استفاده کند تا یکی از سیستم های دیگر را به خطر بیندازد ، مگر اینکه یک فایروال نقطه پایانی (میزبان) نیز روی هر یک از این سیستم های انتهایی اجرا شود. این تصور که سیستم های نقطه انتهایی می توانند به سایر سیستم های نقطه پایان "در درون دیوار آتش" اعتماد کنند ، قبلاً در شبکه های مرکز داده های شرکت گسترده بود و منجر به نقض جدی امنیتی (و احتمالاً هنوز هم شده بود).

بیشتر و بیشتر شرکت ها (و ارائه دهندگان سیستم عامل) این مسئله را برطرف کرده و فایروال های نقطه پایانی را برای حل این وضعیت به کار گرفته اند تا اعتماد استاندارد ضمنی بین نقاط پایانی پشت فایروال وجود نداشته باشد. سایر ابزارهای امنیتی نهایی (مانند نرم افزار آنتی ویروس) اکنون می توانند به طور موثری از ترافیک محافظت شده SSL / TLS اسکن کنند زیرا endpoint رمز عبور را با گواهی سمت مشتری برای جلسه رمزگذاری شده رمزگشایی می کند.

در رابطه با دیواره های دیواری "زیرساخت در مقابل نقطه پایانی" ، بیشتر مسیریاب های خانگی / فایروال ها هم به عنوان یک دیوار آتش زیرساختی و هم به عنوان یک دستگاه انتهایی مستقل عمل می کنند. این اتفاق می افتد وقتی که یک هارد دیسک را وصل کرده و روتر را پیکربندی می کنید تا اشتراک فایل ، اشتراک رسانه و سایر ویژگی های "نقطه پایانی" را ارائه دهید. بنابراین ، فایروال های آنها باید ترافیکی را که از طریق دستگاه می گذرد و ترافیکی را که فقط برای دستگاه در نظر گرفته شده باشد ، پوشش دهند. این ویژگی ها برای مصرف کنندگان بسیار مناسب است زیرا به کامپیوترهای جداگانه ای نیاز ندارند تا بتوانند عملکرد مورد نظر خود را ارائه دهند ، اما ممکن است برای بازیگران مخرب "روش های حمله" را باز کنند تا سعی کنند خط اول دفاعی شما - یعنی فایروال خانگی - را به خطر بیاندازند.

توجه 1: برای بیشتر شبکه های خانگی و بسیاری از شبکه های شرکتی ، این مورد به این دلیل نیست که روتر شما NAT را اجرا می کند ، که فقط باعث ترافیک به شبکه شما می شود که شما یا به طور خاص به عنوان "میزبان DMZ" ایجاد کرده اید یا پورت از ترجمه آدرس استفاده می کند ( آدرس دسترسی (PAT) برای دسترسی به این نقطه انتهایی یا پاسخی از درخواست خروجی شبکه محلی. اگرچه NAT به طور کلی به عنوان فیلتر ترافیک defacto عمل می کند ، از نظر فنی عملکردی فایروال نیست بلکه یک عملکرد مسیریابی است.


پاسخ 4:

برای تکمیل برخی از جوابهای قبلاً عالی ، دوست دارم به دو نوع فایروال به عنوان فایروال های زیرساختی و فایروال های نقطه پایانی فکر کنم. نقش روتر زیرساختی استفاده از خط مشی های فیلتر در هنگام عبور و مرور از طریق دستگاه است و اولین سطح محافظت را برای همه دستگاه های نقطه انتهایی در شبکه فراهم می کند. نقش فایروالهای نقطه پایانی اعمال دستورالعملهای فیلتر برای ترافیک ورودی به نقطه انتهایی است. این به همه توانایی منحصر به فردی را می دهد که دیگری که معمولاً ندارد.

بیایید یک مثال ساده از ترافیک برنامه ها بگیریم و ببینیم که چگونه می تواند روی آن تأثیر بگذارد من به پروتکل Remote Desktop (RDP) نگاه می کنم ، که می تواند برای نمایش یک دسک تاپ از رایانه دیگر در شبکه از راه دور استفاده شود. اگر این دو سیستم "در داخل فایروال" باشند ، یعنی در یک شبکه یا شبکه هایی که نیازی به عبور از فایروال زیرساخت ها ندارند ، ممکن است بخواهید با استفاده از فایروال های endpoint (رایانه) این ترافیک را مجاز کنید. باز کنید تا اجازه دهید این ترافیک انجام شود. بسته به نرم افزار فایروال endpoint ، می توانید دقیقاً مشخص کنید که از طریق RDP به کدام رایانه هایی دسترسی دارید که به سیستم خود دسترسی پیدا کنید. برای سایر فایروال های میزبان ، فقط می توانید آنها را برای هر کسی یا هر کس دیگری باز کنید. اگر در وضعیت دوم قرار دارید و هیچ فایروال زیرساختی وجود ندارد که شما را از سایر شبکه ها محافظت کند ، بیش از آنچه در نظر داشتید نقطه انتهایی خود را برای WAY باز کرده اید. در بدترین حالت ، شما آن را به طور کلی به اینترنت باز کرده اید (با این حال ، به یادداشت شماره 1 در زیر مراجعه کنید).

اینجاست که یک فایروال زیرساختی بازی می کند. سپس دستورالعملهای کلی را برای انتقال داده ها به دیوار آتش نشان می دهید. برای سیستمهای خاص (تعریف شده توسط آدرسهای IP مقصد ، پروتکل (TCP / UDP) و شماره درگاه) ، ترافیک خاص برای کلیه سیستمها یا کل ترافیک می توانید ترافیک خاصی داشته باشید (معمولاً توسط آدرسهای IP منبع تعریف شده است). سیستمهای خاصی را مجاز کنید از نظر فنی می توانید برای همه سیستم ها امکان عبور و مرور را فراهم کنید ، اما در این مرحله چنین روتر زیرساختی دیگر مفید نیست.

مدتی است که استفاده از بازرسی بسته های عمیق (DPI) برای فایروال ها لایه محافظ دیگری را برای شرکت ها فراهم کرده است ، زیرا همچنین بار بار ترافیک داده ها را بررسی می کند و ترافیک داده های مخرب شناخته شده را فیلتر می کند که در غیر این صورت آنها فقط می توانستند براساس داده های موجود در فایروال استاندارد عبور دهند. قوانین (البته افزایش روزافزون SSL / TLS برای رمزگذاری ترافیک ، این سطح از محافظت در سطح زیرساخت ها را برای بسیاری از انواع ترافیک - به ویژه HTTPS) از بین برده است. برای فیلتر کردن ترافیک قبل از رسیدن به سیستم دسک تاپ شما.

یکی از آسیب پذیری های موجود در روترهای زیرساختی این است که یک بازیگر مخرب که قادر به سوء استفاده از آسیب پذیری ها در یک پروتکل / برنامه است که به آنها امکان دسترسی کامل به سیستم نهایی شما را می دهد به طور کلی محافظت کمی در برابر آنها انجام می دهد. ، اگر او از دستگاه سیستم بهره برداری شده به عنوان نقطه شروع استفاده کند تا یکی از سیستم های دیگر را به خطر بیندازد ، مگر اینکه یک فایروال نقطه پایانی (میزبان) نیز روی هر یک از این سیستم های انتهایی اجرا شود. این تصور که سیستم های نقطه انتهایی می توانند به سایر سیستم های نقطه پایان "در درون دیوار آتش" اعتماد کنند ، قبلاً در شبکه های مرکز داده های شرکت گسترده بود و منجر به نقض جدی امنیتی (و احتمالاً هنوز هم شده بود).

بیشتر و بیشتر شرکت ها (و ارائه دهندگان سیستم عامل) این مسئله را برطرف کرده و فایروال های نقطه پایانی را برای حل این وضعیت به کار گرفته اند تا اعتماد استاندارد ضمنی بین نقاط پایانی پشت فایروال وجود نداشته باشد. سایر ابزارهای امنیتی نهایی (مانند نرم افزار آنتی ویروس) اکنون می توانند به طور موثری از ترافیک محافظت شده SSL / TLS اسکن کنند زیرا endpoint رمز عبور را با گواهی سمت مشتری برای جلسه رمزگذاری شده رمزگشایی می کند.

در رابطه با دیواره های دیواری "زیرساخت در مقابل نقطه پایانی" ، بیشتر مسیریاب های خانگی / فایروال ها هم به عنوان یک دیوار آتش زیرساختی و هم به عنوان یک دستگاه انتهایی مستقل عمل می کنند. این اتفاق می افتد وقتی که یک هارد دیسک را وصل کرده و روتر را پیکربندی می کنید تا اشتراک فایل ، اشتراک رسانه و سایر ویژگی های "نقطه پایانی" را ارائه دهید. بنابراین ، فایروال های آنها باید ترافیکی را که از طریق دستگاه می گذرد و ترافیکی را که فقط برای دستگاه در نظر گرفته شده باشد ، پوشش دهند. این ویژگی ها برای مصرف کنندگان بسیار مناسب است زیرا به کامپیوترهای جداگانه ای نیاز ندارند تا بتوانند عملکرد مورد نظر خود را ارائه دهند ، اما ممکن است برای بازیگران مخرب "روش های حمله" را باز کنند تا سعی کنند خط اول دفاعی شما - یعنی فایروال خانگی - را به خطر بیاندازند.

توجه 1: برای بیشتر شبکه های خانگی و بسیاری از شبکه های شرکتی ، این مورد به این دلیل نیست که روتر شما NAT را اجرا می کند ، که فقط باعث ترافیک به شبکه شما می شود که شما یا به طور خاص به عنوان "میزبان DMZ" ایجاد کرده اید یا پورت از ترجمه آدرس استفاده می کند ( آدرس دسترسی (PAT) برای دسترسی به این نقطه انتهایی یا پاسخی از درخواست خروجی شبکه محلی. اگرچه NAT به طور کلی به عنوان فیلتر ترافیک defacto عمل می کند ، از نظر فنی عملکردی فایروال نیست بلکه یک عملکرد مسیریابی است.