供应商正试图向我推销硬件防火墙:我需要一个吗?

根据标题,我的软件供应商正试图说服我升级到一个带有硬件防火墙的专用服务器。 (我们目前在共享的Rackspace虚拟主机上运行Ubuntu。)

我们的应用程序的数据库不包含机密的个人信息,我们正在使用良好的密码安全性。 我们也有备份。

我们应该支持硬件防火墙还是有充分的理由,还是供应商只是想向上推销?

我不想疏忽,但我也不希望我们付出我们并不真正需要的服务。

谢谢你的帮助。

不,你不需要硬件防火墙。 您可能需要DDoS缓解或其他任何服务,但是单台计算机的硬件防火墙是完全可圈可点的。

既然你提到你在一个Rackspace共享服务器上,我假设你将进入一个Rackspace专用环境,是的,他们会强制一个防火墙(实际上是一对),因为他们有一个3个设备最低pipe理色彩。 在我看来,这等于是一个骗局,而且也是我们将所有客户的设备从设备中拉出(或正在拉动)的重要原因。 我会find另一个供应商,谁不会强迫你购买你不需要的东西。

不,不需要,除非它具有某种types的DDoS保护,否则你将推动大于100MB / s的stream量。

只要configuration正确,Linux内部的防火墙就应该做好安全方面的工作。

这听起来像你提供没有提供任何有效的理由,你买这样的设备(否则你会解释他的推理?)

不包含机密的个人信息,[…]。 我们也有备份

它们本身对于为什么这种专用防火墙可能是合理的没有什么关系。

假设你已经为服务器的防火墙设置了明智的select,那么使用单独的防火墙是没有道理的。

我并不是说你的系统足够安全 – 这是一个非常不同的问题,但是,除了应对更高的通信量并提供更好的与零时分组级别攻击(这是非常罕见的)隔离之外,它不会做任何事情,不能使用iptables / tc / iproute2

而且,尽pipe最昂贵的这种设备可以提供snort提供的那种保护,但是没有一个提供可以使用fail2ban在软件中实现的function。

通常情况下,更多的连接将被允许。

根据您的供应商销售的型号,可能会有额外的,有时是专有的function,您可能会喜欢。 检查相关的供应商网站。

最重要的可能是它和你的服务器将是专用的而不是共享的。 这给你更多的自由select维护窗口(虽然检查你的托pipe公司,因为可能会有额外的费用行使这种自由),并从共享平台上的邻居造成的性能问题。

也请咨询负载平衡器。

我也同意在这里也是否需要FW的问题。 一般来说,我认为FW是一个交通警察。 你正在使用的服务应该已经有一些到位,所以我想你正在寻找一些Web应用程序的保护。 只是因为您的网站上没有任何个人身份信息,并不意味着被黑客入侵就行。 您应该研究一些基于云,软件即服务(SaaS)的网站和Web应用安全解决scheme; xyberShield和FireEye。 我对xyberShield了解得更多,但也查看了FireEye产品,这是一款反恶意软件产品。 SaaS模式提供了许多方法来扩展您的产品安全和您的产品需求。 由于您的站点上没有硬件(至less使用xyberShield),冗余,低延迟,处理鲁棒性以及更新均在SaaS模型解决scheme的后端处理。

另一个重要的理解这两个解决scheme的优点是它们是基于行为的和基于签名的。 xyberShield产品拥有一个非常时髦的高级行为分析关联引擎(BACE),已经学习了4年多,所以它学到的任何东西都会立即应用到其知识库中,并可供全球所有客户使用。

最重要的是要明白,您可能需要解决您的网站和Web应用程序的保护与分层数量的产品和/或服务的具体需求。 今天,您应该将基于云的网站服务与基于云的安全解决scheme相匹配。