我在这里开博的主要目的是想研究一下开源的安全产品,同时也把自己的一些经验和想法分享给大家。
在之前的一篇博文中, 我介绍了开源防火墙产品FreeBSD。其实这类的开源产品很多,基本上都能满足一些小型的公司需求或者虚拟化上的安全防护需求。但是我们在企业中更多的时候,还是会选择一些硬件防火墙,因为硬件防火墙从管理上,可靠性上,技术支持上都有一些无可比拟的优势。但并不是说开源的防火墙就是银样镴枪头的样子货,我们在对开源防火墙的研究和实施过程中, 让我们有机会深度了解何为防火墙,主要都能防啥,为啥能放啥。有了对技术的深度理解, 我们再使用商业化的产品的时候,能从更深远的高度来进行体系设计。不在受限于某一个厂商的产品, 因为他们的祖宗就是从开源软件进化来的,或者就是加了一个铁壳子。
防火墙主要是部署在边界的位置, 但是这个边界我们需要辩证的来看。如果只是追寻传统的物理边界,就在ISP提供线路的位置上接入防火墙, 这个恐怕是不能实现立体防御和全局防御的目的。
在一个稍微复杂的网络环境中, 我们既要实现边界的大隔离, 也要实现在内部的微隔离。关于边界的隔离大家都很容易理解,允许内部的出去, 不允许外部的进来;inside,DMZ, outside分别设立不同的安全界别 等等。这些是我们在学习网络之处就从课本上或者老师口中学到的。即使我们在内网环境中, 也要实现网络功能区的划分,通过vlan的方式来实现各个区域的隔离。这个话题也基本上是网络架构的一个常识性问题。但是这里我要提到的一点就是,vlan都设置好了,你有匹配上对应的规则吗?放行什么,不放行什么不是书本上教的, 需要一个网络安全架构人员深入了解公司的应用场景,再结合上实际流量的抓取。这样才能有效的规划出来一个切合自己企