网络防火墙保护私有云中托管的应用程序和数据。它们是网络安全的核心,充当所有流量的访问控制点,并消除未知恶意流量的风险。
当考虑安装哪种网络防火墙设置时,您需要做出以下决定:
您是否在服务器(托管应用程序和数据)和互联网之间使用(中央)独立防火墙,还是对每个服务器都设置防火墙,这也称为(分布式)基于主机的防火墙?还是两者兼而有之?
独立/传统防火墙设置
传统的中央防火墙本质上是路由器、代理和网关系统的组合。它位于受保护的可信内部网络和不受信任的外部网络(例如互联网)之间。它无法保护内部网络上的系统免受其他内部系统的攻击。
防火墙的设计只允许防火墙内部策略授权的流量通过。由于线路速度越来越快,防火墙必须支持的计算密集型协议也越来越多,中央防火墙也容易成为拥塞点。
中央硬件防火墙在很多情况下都很昂贵,特别是如果您增加需要通过防火墙的容量时。但是,防火墙也可以基于软件设备。软件防火墙的一个好处当然是您甚至可以在专用或虚拟服务器上安装免费的软件防火墙,并创建具有成本效益的防火墙。
基于主机的分布式防火墙设置
基于主机的(分布式)防火墙可过滤每个主机系统上的外部和内部流量。这也有助于防止其他内部系统对内部系统的黑客攻击。通常,基于主机的防火墙是软件防火墙。
基于主机的防火墙单价较低,可以基于服务器操作系统中的防火墙功能或附加(软件)包实施。其优点包括可以根据主机服务器定制防火墙策略规则集。
基于主机的防火墙的性能更易于管理,因为它只需要保护整个基础设施的一部分。
评估独立防火墙和基于主机的防火墙
独立防火墙设置的主要优点是便于集中管理。如果使用中央防火墙,则需要冗余,因为整个基础设施都依赖于它。因此,由于需要高性能和冗余,中央防火墙的价格较高。
基于主机的防火墙为保护服务器提供了许多好处。例如,它可以大大提高系统与网络内其他系统的防护。它还更容易为每个系统创建定制的防火墙并支持高容量。此外,借助分布式防火墙的中央管理工具,中央管理的好处也适用于基于主机的防火墙。
主要结论
总体而言,如果您想确保私有云设置中的应用程序和数据的安全,那么将基于主机的软件防火墙作为网络防火墙设置的一部分纳入专用和虚拟服务器是值得的。最终的保护将由基于主机和基于中央网络的解决方案(最好是基于软件的中央防火墙)的组合提供。这将提供更具成本效益的安全性、灵活性和性能。