首頁>Security>source

主题是"使用来自两个不同供應商的防火墙更安全" 使用多供應商防火墙並不是更安全,因為" More than 95% of firewall breaches are caused by firewall misconfigurations, not firewall flaws. "

Now, I want to use different vendors because if there is an vulnerability with one firewall, maybe a firewall from a different vendor does not have this vulnerability.is it, right ?

最新回復
  • 2019-12-5
    1 #

    连續使用多个防火墙会增加複雜性 - 無論是防御者還是攻击者.正確配置這樣的設置可以顯着提高安全性,因為不同供應商具有不同強度和弱點的機会很高.

    如果您只看一下簡單的資料包過濾防火墙(即第3層和第4層檢查,没有應用程式層檢查),那麼這些防火墙的工作方式就没那麼大差別了.但是,能够进行應用層檢查(使用深度包檢測或應用代理)的更複雜的防火墙在檢查應用層方面有很大差異,因為所涉及的協議和有效載荷比第3層和第4層複雜得多。因此,實際上 所有這些防火墙在應用程式層檢查中都存在一些缺點,但来自不同供應商的設備通常没有完全相同的弱點.這意味着通過組合這些,你可以减少弱點,当然是以更高的成本和更複雜的管理為代價。

    關於錯誤配置的說法:我不知道這種說法的起源(有些人引用Gartner,有些人在2018年占95%,其他人預計在2020年占99%)我不知道是什麼樣的錯誤配置 是指這个說法.如果是設計錯誤配置(即過於宽泛的策略,過濾被禁用,因為它是一種麻煩),那麼多个防火墙可能無助於缓解錯誤配置問题.但如果它是偶然的錯誤配置(可能是由於非直观的方式配置防火墙),那麼多个防火墙實際上也可能使錯誤配置的機会降低,因為管理員可能不会重複所有防火墙中的所有錯誤,如果方式 配置必须完成不同。

  • 2019-12-5
    2 #

    這是一个有趣的問题,實際上,我在工作中看到過這樣的設置,例如,我看到一家公司使用思科ASA然後紧接着 它是一个Checkpoint防火墙,說實话,我可以看到疯狂的方法。

    然而,考虑到很多防火墙問题實際上是由於帖子中所述的錯誤配置造成的,所以實際上,我认為它不会产生大量的影响。

    当防火墙(和其他产品)中發現漏洞時,大多數情况下,产品安全响應团队会很快纠正這些漏洞,而且通常所需要的只是在設備上安裝新版本的韌體.您執行此升級的速度越快越好.总的来說,我不认為這会产生巨大的差異,如果主動維護防火墙並快速响應安全威胁,我不確定花费額外的資金和資源来維護两个不同的防火墙是值得的。

    最後,它归結為你的威胁模型和你的預算,我想說如果你保護真正有value的东西,来自不同供應商的两个不同的防火墙可能是有益的 - 最後,很难迴答這个問题.問题實際上,它归結為你的威胁模型。

  • 2019-12-5
    3 #

    對於依赖於"订阅"(防病毒定義,網路钓鱼過濾器等)的安全产品,有一个強大的分層論据 来自不同供應商的每一層的防御.

    例如:您的郵件服務器上可能安裝了恶意軟體過濾,您可能還在工作站上安裝了端點反恶意軟體.如果攻击者向您發送一些新的0day恶意軟體,並且這两種产品都来自同一供應商,那麼恶意軟體很可能会通過两層保護層.但是,如果您使用两个不同的供應商,則有可能一个供應商会捕获另一个供應商遗漏的內容.

    此引數可應用於具有UTM的防火墙,其中內建恶意軟體和恶意網站阻止.您的防火墙的恶意軟體防護應该来自与端點防護不同的供應商.

相似問題

  • software:為什麼Steam如此坚持安全?
  • threat mitigation:如何保護自己不被我的AwS EC2例項破壞並建立其他例項?