Возможные подходы к эксплуатации firewall’а
При эксплуатации и определении политики firewall’а следует решить, использовать ли firewall в виде отдельного аппаратно-программного средства (appliance) или в составе ОС. Хотя данное решение в большей степени определяется требованиями организации, должны быть рассмотрены следующие аспекты:
- В общем случае, аппаратно-программные firewall’ы являются более безопасными, чем те, которые реализованы в ОС. Аппаратно-программные firewall’ы не имеют уязвимостей, связанных с лежащей в их основе ОС. Они обычно реализуют технологию ASIC (Application-Specific Integrated Circuit); при этом ПО firewall’ов реализовано в виде firmware. Эти firewall’ы обычно более производительные, чем те, что реализованы в ОС.
- Преимуществом реализации firewall’ов в ОС является их масштабируемость. Если окружение потребует большей производительности, организация может купить более мощную систему, на которой будет выполняться ПО firewall’а. Большинство аппаратно-программных firewall’ов не имеют такой степени гибкости и масштабируемости.
- Самым большим недостатком реализации firewall’ов в ОС является потенциальное наличие уязвимостей в этой ОС, которые могут нарушить безопасность самого firewall’а. В большинстве случаев, когда коммерческие firewall’ы взламываются, этот взлом происходит из-за уязвимостей лежащей в их основе ОС.
Данное решение должно быть принято на основе цены, а также оценки возможных будущих требований.
