我在防火墙后面有一台服务器。它运行一个Web应用程序(Apache Tomcat下的Java servlet),并且只响应端口443(HTTPS)。页面中没有脚本代码 - 表单使用HTTP POST来接收表单,处理数据(使用适当的输入过滤),然后输出HTTP结果页面。是否需要在仅服务器防火墙上进行深度数据包检查?
我目前正在使用设备防火墙,但它是'硬件flakey'。我一直在考虑升级到更具“工业强度”的解决方案,但该供应商非常坚持我购买“深度包检测”软件的订阅。他声称即使是网络服务器也需要这种保护。
我不相信,但没有安全背景是肯定的。防火墙将位于“世界”和我的服务器之间,并使用“端口转发”来允许端口443和22(用于维护)到达服务器。
所以 - 我真的需要这个深度包检测吗?
鉴于您感兴趣的唯一协议(ssh和https)是“在连接上协商加密”,标准防火墙在此之后几乎无法检查。一旦SSL/SSH会话建立,防火墙将仅看到加密的数据包。询问您的供应商在这种情况下他们的产品检查。
或者,设备可能更像是一个代理 - 它在连接到真实服务器之前充当连接的服务器端点 - 在这种情况下,有可能产品会做更深入的事情,但如果防火墙真的像您说的那样是“端口转发”,情况并非如此。同样,您的供应商应该能够解释他们的设备如何运作。
另外,您也许想问问检测系统有什么漏洞/风险可以防范。例如:它是否注意到SQL注入?它是针对特定平台的吗? (例如,如果您的Web服务器运行在SPARC CPU上,那么检查x86 shellcode的URL是没有意义的)。
作为一名网络安全专业人员,这听起来对我来说太过于矫枉过正。
Martin Carpenter的回答是100%的目标。任何时候你要考虑安全性,您需要了解
对于您的应用程序,只允许加密,认证通信仅2个端口,我只能看到几个漏洞:
我也同意问问供应商什么是“深度包检测”对他意味着什么以及您的特定情况需要它是个好主意。除非你得到一个具体的,知识渊博的答案,门外汉的条款,那对你有意义,我会去其他地方。没有关于网络安全的简单解释,没有流行语。
更新在以下几个方面......
首先 - 我现在有理由相信OTS硬件产品的针片状的那部分是低功耗CPU和缓存不足的组合。在几周的日志记录和几次崩溃之后,在崩溃之前日志中没有条目,但是我根据日志控制记录了所有日志。与另一家防火墙供应商交谈时,有人表示,可能表明缓冲区的填充速度比在大量使用时可能会变空的速度更快。这与调查结果相符 - 最常用的IP是最常见的崩溃。
所以我查了一下,并且防火墙确实有一些深入的数据包检查工具。我已经关闭它,看看事情是否有所改善。
防火墙在我的网络场景中的主要目的是“门卫”。也就是说,我希望防火墙能阻止除HTTP,HTTPS和某些ssh之外的所有流量超出WAN端口。由于防火墙内部没有用户,内部产生的任何流量都来自我的应用程序,并且可以被允许。
与一个供应商的进一步会谈表明他们不再需要进行深度包检测 - 另一个人只是试图在相关单元上“加售”我。我也发现他们的硬件不会真正做我想要的所有东西而不花费大量的钱。
我现在正在认真研究如何使用OpenBSD和PF防火墙来以经济高效的方式做我想要做的事情。