Perché posto il bilanciamento del carico dietro il firewall?

Sto pensando di acquistare un dispositivo di bilanciamento del carico F5 che proxy introdurrà le connessioni HTTP a uno dei cinque server web della mia networking interna. La mia ipotesi era che l'interface esterna di F5 wheresse affrontare Internet e l'interface interna whereva affrontare la networking interna in cui vivono i server web. Eppure molte delle illustrazioni che vedo in linea collocano il dispositivo F5 dietro il firewall. Questa disposizione potrebbe causare un traffico aggiuntivo per passare attraverso il firewall e rendere anche il firewall un unico punto di fallimento, corretto?

Qual è la logica di questa configuration?

  • ip6tables che bloccano il traffico di output
  • come separare una networking per il traffico
  • Bloccare le porte SMTP impedire al server di submit messaggi di posta elettronica?
  • Blocca automaticamente IP che richiede un determinato URL
  • IPTables: consentire solo l'accesso SSH, nient'altro in entrata o in output
  • Per un server Exchange di tutti i ruoli in uno, che cosa devo passare attraverso il firewall?
  • 9 Solutions collect form web for “Perché posto il bilanciamento del carico dietro il firewall?”

    Penso che il classico:

    Firewall <-> Load Balancer <-> Web Servers <-> ... 

    è per lo più rimasta dall'era dei costosi firewall basati su hardware. Ho implementato tali schemi in modo che lavorino, ma rendono l'insieme più complicato. Per eliminare singoli punti di errore (e ad esempio consentire l'aggiornamento del firewall) è necessario disporre di traffico tra 2 firewall e 2 bilanciere di carico (utilizzando le reti 2 o l'instradamento del livello 3 appropriato).

    Nelle nuvole pubbliche si tende ad attuare qualcosa di simile:

     Load Balancer <-> [ (firewall + web) ] <-layer 2 domain or ipsec/ssl-> [ (firewall + app/db) ] 

    che è francamente abbastanza buono.

    1. Se stai usando l'equalizzatore di carico per terminare la connessione SSL, un firewall posizionato di fronte all'equilibratore di carico fa solo filter molto semplice di livello 3 poiché sta vedendo traffico crittografato.
    2. Il tuo F5 è già dotato di un firewall, che è buono come le regole di filtraggio che hai messo in atto.
    3. L'argomento di difesa in profondità è IMHO debole quando si tratta dello strato 3. I vettori di attacco per le applicazioni web sono le iniezioni SQL, non triggersndo il firewall per get l'accesso alla radice.
    4. I nuclei di server web puni di solito sono abbastanza buoni per gestire il filtraggio da tcp e su.

    Felice di vedere qualche discussione sul tema.

    Avrei pensato che questo sarebbe stato evidente: lo stesso motivo che hai messo qualcosa dietro il firewall.

    La ragione è di avere il firewall proteggere i server web. In questo caso, il punto dei bilancieri del carico è assicurarsi che i server web non siano un singolo punto di guasto e di bilanciare il carico tra di essi. Se c'è un solo firewall, è accettato come un unico punto di fallimento.

    Non direi che c'è un traffico "extra" che attraversa quel firewall.

    Se si dispone di 5.000 richieste in entrata e si inviano anche 1.000 richieste a ciascun server, non è più richiesto il servizio da parte del firewall se se hai inviato 5.000 richieste in modo che l'unico server o se metti il ​​firewall dietro l'F5 (tutti 5000 richieste devono ancora passare attraverso quel firewall a un certo punto, altrimenti non sono affatto in una networking "privata").

    Ma è vero che il firewall è un singolo punto di fallimento, ma se stai immergendo nel bilancio per forchettare per acquistare un singolo F5, bene allora che F5 diventa anche un singolo punto di fallimento.

    Se sei fuori per configurare un sistema completamente ridondante, hai bisogno di due F5 in un cluster HA attivo / passivo e quindi avrai due firewall, anche in un cluster HA attivo / passivo.

    Possono essere rappresentati da una singola grafica nella documentazione di F5, ma è perché mostra l'aspetto logico del firewall (c'è un dispositivo che serve tutte le richieste), non l'impostazione fisica (due dispositivi, uno dei quali in standby di HA) .

    Un altro motivo per mettere il tuo bilanciere del carico dietro il tuo firewall di bordo è il fatto che il tuo bilanciatore di carico non può essere indebolito per impostazione predefinita (forse ha delle vulnerabilità nelle interfacce di gestione, forse è il permesso predefinito, chi lo sa). Mettendolo dietro il firewall e solo colpire i fori per le porte richieste dal punto di vista pubblico, si esegue un rischio molto minore di un vulnerabile carico di bilanciamento che viene esposto a Internet.

    Normalmente, si desidera che il tuo bilanciatore di carico ei server web in una DMZ (De-Militarized Zone). L'accesso al DMZ dalle reti interne ed esterne dovrebbe essere controllato dal firewall. Se il bilanciamento del carico è di fronte al firewall, non è in grado di bilanciare entrambi questi carichi.

    Come altri hanno pubblicato, sia il firewall che il bilanciatore di carico saranno un singolo punto di fallimento a less che non si dispone di apparecchiature ridondanti.

    Quasi francamente è per appagare gente di sicurezza che basta avere un firewall separato. Il module bigm asm può sostituire un firewall. combinare con i firewall e le policy di ipsec sui server e un firewall dietro e si dispone di un sistema sicuro.

    Untrust, l'inet, tocca sempre il firewall, che passa solo un traffico specifico.

    Tutto il resto passa dietro il firewall.

    Ecco come è fatto. Il firewall è considerato "duro" e sicuro da esporre a non attendibile. Tutto il resto è considerato in necessità di riparo …

    È comune vedere le implementazioni di sicurezza come un insieme di singoli livelli di sicurezza, spesso definiti come model di sicurezza a livello.

    Nel modo più semplice, each livello di sicurezza che deve essere attraversato contribuisce ad aumentare la resistenza alla penetrazione: each livello aumenta la difficoltà totale in cui un aggressore può get un accesso non autorizzato.

    Per me è sempre sembrato abbastanza ragionevole avere capacità di rilevazione, prevenzione e filtraggio sul bordo Internet, per qualsiasi ragione – e nel context di una sicurezza stratificata penso che abbia un perfetto senso di avere un pacchetto che controlla il firewall come prima linea di difesa – un tale dispositivo ha il vantaggio aggiuntivo di essere in grado di difendersi dagli attacchi mirati all'ADC o ad altri apparati di networking connessi con Internet.

    Come esempio per illustrare il mio punto; Considera come un firewall esterno (bordo) sia ben posizionato per verificare la conformità del protocollo prima che il traffico possa entrare nella networking, prima che possa essere passato a dispositivi potenzialmente vulnerabili. Il firewall potrebbe anche cercare variazioni e schemi di traffico conformi alle specifiche tecniche, ma si discostano dall'utilizzo tipico o dalla pratica comune. Ciò aumenta la possibilità di scoprire flussi di dati nascosti, tentativi di bypassare i checkpoint o addirittura di nuovi servizi per il contrabbando di richiesta.

    Un tipico, anche se un po 'semplificato, Web / SaaS design potrebbe sembrare qualcosa di simile:

    1. Internet pubblico
    2. SPI Firewall (Cisco ASA, Fortigate)
    3. Load Balancer / ADC / WAF ** Termine SSL / TLS. punto ** (come Big-IP, Baracuda)
    4. Next Generation Firewall (come PaloAlto, CheckPoint)
    5. Servizi di Application Web
    6. Firewall basato su port (ad esempio un Cisco ASA a basso livello o anche iptables)
    7. Servizi di archiviazione e database

    La ridondanza può essere aggiunta ad each singolo componente come richiesto.

    Personalmente preferisco la ridondanza locale per i firewall (ad es. 2 nodes per firewall per sito) anche se i bilancieri di carico sono dispiegati per l'elevata disponibilità globale o il failover del sito (richiede solo un Big-IP per sito).

    BIG-IP è un firewall certificato ICSA. Per essere in arrivo nei casi di utilizzo del datacenter può avere senso avere il BIG-IP come firewall. La piattaforma BIG-IP generalmente scala molto più alta di altri firewall commerciali e support il rilascio SSL per l'ispezione dei contenuti. Come indicato da Jim B, è anche ansible aggiungere il firewall per applicazioni Web BIG-IP ASM per proteggere applicazioni web.

    Firewall di consegna ad alta prestazione

    http://www.f5.com/pdf/solution-profiles/high-performance-app-delivery-firewall-sp.pdf

    Aaron

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.