Какая разница между переадресацией портов и брандмауэром?
Итак, действительно ли эти так называемые межсетевые экраны, встроенные в бытовые маршрутизаторы ADSL, действительно что-нибудь защищают вашу сеть?
Какая разница между переадресацией портов и брандмауэром?
Итак, действительно ли эти так называемые межсетевые экраны, встроенные в бытовые маршрутизаторы ADSL, действительно что-нибудь защищают вашу сеть?
Переадресация портов - это одна из многих возможностей, которые может выполнять межсетевой экран. Что касается вашего второго вопроса, то это зависит от модема. Ваш вопрос устанавливает планку довольно низко, то есть они лучше, чем ничего. Я бы сказал, что да, большинство предлагают защиту. Будут ли они такими же надежными и многофункциональными, как Cisco ASA 5505? Означает ли это, что вам нужно выйти и потратить 400 долларов на ASA 5505? Это также зависит. Если вы домашний пользователь, встроенный межсетевой экран в маршрутизаторе / модеме adsl, вероятно, достаточно хорош, если он включен и правильно настроен. Если у вас есть домашний офис и вам нужен надежный набор функций безопасности, а также поддержки и надежности, то вы непременно потратите 400 долларов. В противном случае просто убедитесь, что брандмауэр действительно включен и не широко открыт.
Кроме того, я просто использовал Cisco в качестве примера. Есть и другие варианты, которые вы можете рассмотреть, например Watchguard, Fortinet и т.д., Если вы заинтересованы в настоящем межсетевом экране soho.
По моему опыту, домашним маршрутизаторам не хватает емкости, регистрации, подотчетности (поддержка RADIUS или TACACS), сложности набора правил, избыточности, надежности оборудования, количества поддерживаемых физических сетей, VLAN, концентраторов VPN, датчиков обнаружения вторжений и множества других вещей. вам не нужно в домашней сети.
Домашние маршрутизаторы сложно неправильно настроить, а сложность - враг безопасности ... поэтому я бы сказал, что они, как правило, лучше, чем большие вещи ... если вам не нужны некоторые из перечисленных функций.
Чтобы затронуть Ваш второй вопрос. Единственное, что делают потребительские маршрутизаторы, - это обеспечивают уровень NAT для вашей сети. Большинство из них используют для этого то, что называется Stateful Packet Inspection. Это просто причудливый способ сказать, что они отслеживают все соединения, которые были инициированы из локальной сети, до тех пор, пока они не будут разрушены обычными средствами TCP/IP или тайм-аут после периода бездействия. Это предлагает сети некоторый уровень безопасности, так как пропускается только трафик, который инициируется изнутри сети. Есть несколько исключений из этого с UPNP и переадресацией портов, которые позволяют пересылать незапрошенный трафик.
Что потребительские устройства не предлагают, что корпоративный брандмауэр делает на базовом уровне, так это возможность иметь правила для входящего и исходящего трафика. Например, если вы хотите заблокировать трафик с или на определенный порт или хост. Вы также можете иметь расписания, которые определяют, когда правила применяются. Но, как уже упоминали другие, в некоторых случаях корпоративное оборудование может иметь дополнительные функции помимо брандмауэра, но это действительно выходит за рамки вопроса, который вы здесь задаете.
Не вступая в спор о брандмауэрах и защите, ваша лучшая защита - это регулярные исправления безопасности и брандмауэр. Брандмауэры, встроенные в домашние маршрутизаторы, работают как брандмауэры, но не могут остановить многие из самих причиненных вирусов / эксплойтов / троянов, которые могут заразить компьютер от простого просмотра веб-страниц. То же самое относится и к антивирусному программному обеспечению, большинство из них практически бесполезны для новых эксплойтов или действий, совершенных пользователем (т. Е. Нажатием или посещением, где вы не должны). При домашней настройке переадресация порта будет подвергать компьютер, который является получателем этого порта, пересылке любым потенциальным атакам на этот порт.