すでにファイアウォール/ポートルールがあるゲートウェイルータの背後でUFWを実行することは本当に必要ですか?
この例では、Nattedファイアウォールゲートウェイルーターの背後にあるインターネットアクセス可能な(Linux)サーバーでUFWを実行する方法について説明します。
具体的に説明してください。ただハッカーがあるからといって答えるなよ! (これは有効な答えですが)
内部保護用ですか?それでは、そして私のLANを信頼できることを知っていますが、UFWを実行できませんか?
答え1
結局のところ、これはUnix / Linuxの問題ではなくセキュリティ上の問題です。
技術的に答えは「いいえ」です。機能するために実行する必要はありません(実行中の他の項目によって異なります)。
私はモデム/ルーター/アクセスポイントがインバウンド接続を許可しないように設定されているため、ホームネットワークでホストファイアウォールを実行しません。そして皆さんのように私もホームLANを「信頼」します。
しかし、これは私のものです。家蘭。興味深いデータもなく、これについて言うことはありません。引き付けるハッカー、主にドライバーに対する防御です。
次の脅威は、Webブラウザを介して配信されるマルウェアです。それはあなたを意味しますできないホームネットワークを信じてください。この場合、誰かがWebサーバー(クロススクリプトなど)をハイジャックすると、コンピュータに何らかのボットがあり、ネットワークをスキャンしてコピーを作成します。機密に分類された「秘密」ネットワーク(ネットワーク自体ではなくその中のデータが機密という意味)を保有する政府施設があり、施設が深刻な感染を経験し、システム内のすべてが感染して施設から出るのに深刻な困難を経験していました。 。機械の形状を変えることができるので急速に広がっています。しかし、これは、Active Directory [1] のほぼすべての Windows コンピュータの単一の文化とセキュリティの問題です。
おそらくこれはあなたにとって問題になるかもしれません。それがあなたがしなければならない評価です。
最終的に開いているインバウンドポートがほとんどなく、実行中のネットワークサービスが最小限に抑えられ、他の例示的なセキュリティプラクティスを持つホームネットワークでは、ホストベースのファイアウォールは大きなセキュリティ上の利点を提供しません。
しかし、あらゆるタイプのPIIを持つビジネスでは、もう少し努力する必要があります。
これは次のことを意味します。。私たちは皆、ホストベースのファイアウォールを実行する必要があります。私たちは私たちに代わって、コンピュータがどのネットワーク活動を開始して処理するのかを知る必要があります。
しかし、忙しくて精神的ではありません...
答え2
Petroが言ったことに加えて、UFWで実行されている規則によって変わることがあると思います。私の意見は、LAN内のどのワークステーションも完全に信頼できないということです。ワークステーションはバックドアウイルスに感染し、ハッカーが内部でネットワークを攻撃する可能性があります。したがって、感染したワークステーションがサーバーを攻撃するのを防ぐことができるファームウェアを用意することをお勧めします。一方、LANデバイスでsshなどの操作を許可するルールを実装したい場合、UFWの利点は少なくなります。
私たちの家のUTMはVLANの簡単な実装をサポートしているため、UTMはサブネット間のトラフィックを調べてファイアウォールを実行できます。これにより、デバイスをさまざまな信頼レベルにすることができます。 Webベースのサーバーは最低信頼レベル(実際にはDMZ)にあり、KVMホストは最高の信頼レベルで別々のVLANにあり、バックアップサーバーはプライベートVLANにあり、エンドユーザーデバイスは4番目のVLANにあります。 VLAN。家では過分ですが、これは私が職場でテストしてそのままにする設定です。