我在防火墙后面有一台服务器。它运行一个 Web 应用程序(Apache Tomcat 下的 Java servlet)并且只响应端口 443 (HTTPS)。提供的页面中没有脚本代码 - 表单使用 HTTP POST 接收表单,处理数据(使用适当的输入过滤),然后输出 HTTP 结果页面。
我目前正在使用设备防火墙,但它是“硬件-flakey”。我一直在考虑升级到更“工业实力”的解决方案,但供应商非常坚持要我购买他们的“深度数据包检测”软件的订阅。他声称即使是网络服务器也需要这种保护。
我不相信,但没有安全背景可以确定。防火墙将位于“世界”和我的服务器之间,并使用“端口转发”仅允许端口 443 和 22(用于维护)到达服务器。
那么 - 我真的需要这种深度数据包检查吗?
鉴于您感兴趣的唯一协议(ssh 和 https)是“在连接时协商加密”,此后标准防火墙几乎无法检查。一旦建立 SSL/SSH 会话,防火墙将只看到加密的数据包。询问您的供应商他们的产品在这种情况下检查了什么。
或者,该设备可能更像一个代理——它在中继到你的真实服务器之前充当连接的服务器端端点——在这种情况下,产品可能会做一些更深层次的事情,尽管如果防火墙真的像您所说的那样是“端口转发”,则情况并非如此。同样,您的供应商应该能够解释他们的设备是如何运行的。
此外,您可能想询问检查系统旨在防止哪些漏洞/风险。例如:它会注意 SQL 注入吗?它是否针对特定平台?(例如,如果您的 Web 服务器在 SPARC CPU 上运行,那么检查 x86 shellcode 的 URL 就没有什么意义了)。
作为一名网络安全专家,这对我来说听起来有点矫枉过正。
Martin Carpenter 的回答是 100% 达标。每当您考虑安全性时,您都需要了解
对于您的应用程序,它只允许在 2 个端口上进行加密、经过身份验证的通信,我只能看到几个漏洞:
我也同意向供应商询问“深度数据包检查”对他意味着什么以及为什么您的特定情况需要它是一个好主意。除非你得到一个具体的、知识渊博的答案,用外行的话来说,这对你来说是有意义的,否则我会去其他地方。网络安全没有什么是不能简单解释的,没有流行语。
在几个方面更新...
首先 - 我现在有理由相信 OTS 硬件产品的部分缺陷是 CPU 低功耗和缓冲内存不足的组合。在数周的日志记录和几次崩溃中,崩溃前的日志中没有任何条目,但我正在根据日志控制记录所有内容。与另一家防火墙供应商交谈时,有人指出,在大量使用期间,缓冲区的填充速度可能比清空速度快。这与调查结果相符 - 最常用的 IP 是最常崩溃的 IP。
所以我检查了一下,防火墙确实打开了一些深度数据包检查功能。我已将其关闭以查看情况是否有所改善。
在我的网络场景中,防火墙的主要用途是“看门人”。也就是说,我希望防火墙阻止除 http、https 和某些 ssh 之外的所有流量超出 WAN 端口。由于防火墙内没有用户,因此从内部生成的任何流量都来自我的应用程序并且可以被允许出去。
与一个供应商的进一步会谈表明,他们不再需要深度数据包检查 - 另一个人只是想在有问题的设备上向我“追加销售”。我还发现,如果不花很多钱,他们的硬件并不能真正满足我的所有需求。
我现在正在认真探索使用 OpenBSD 和 PF 防火墙以经济高效的方式完成我所要求的工作。