web-dev-qa-db-fra.com

Est-il nécessaire de configurer un pare-feu dans le PC et le routeur?

Si j'ai le pare-feu de routeur activé, est-il vraiment nécessaire de configurer iptables dans mon système? N'est-ce pas un peu redondant?

Par exemple, j'ajoute une règle dans le routeur où le PC ne peut pas utiliser le port 12345 pour les connexions sortantes. Pourquoi devrais-je ajouter cette règle très dans le pare-feu du PC?

9
eez0

Vous avez posé deux questions différentes, celle du titre n'est pas la même dans le corps de votre question. Avoir un logiciel de pare-feu directement installé sur votre machine n'est pas le même que de configurer Iptables.

Est-ce nécessaire? NON

Cela vous donnera-t-il une couche supplémentaire de sécurité? oui

pourquoi?

Avoir une solution de pare-feu installé sur votre PC ne consiste pas uniquement à bloquer les mauvais ports IP et les ports de fermeture. De nombreux logiciels de pare-feu utilisent des signatures d'attaque capables de détecter de nombreuses attaques automatisées (ainsi que ciblées) sur des ports légitimes que vous pourriez utiliser.

Par exemple, vous souhaiterez peut-être activer l'accès SSH à votre PC pour surviser votre trafic à partir d'un réseau non approuvé. Dans ce cas, vous souhaitez ouvrir le port 22, la plupart des routeurs primitifs ne peuvent rien faire d'autre que de fermer/bloquer l'accès à ce port. Vous voulez que quelque chose puisse détecter des attaques, automatiquement la liste noire enflammée IPS (bien que je préfère le concept de whitelisting).

n point plus important, votre source d'attaques pourrait ne pas être seulement des réseaux extérieurs. L'une des machines à l'intérieur de votre réseau pourrait être compromise et utilisée pour lancer des attaques sur les autres machines sans méfiance.

8
Adi

Il y a des avantages à la fois un pare-feu matériel et un pare-feu PC. Le pare-feu matériel est isolé à partir de votre ordinateur, que vous exécutez le code potentiellement mauvais sur qui pourrait compromettre l'intégrité du pare-feu. Le pare-feu matériel peut encore avoir des problèmes, mais il est probablement beaucoup plus difficile de compromis. L'inconvénient est cependant qu'un matériel sait très peu de pare-feu si quelque chose au sujet de ce programme fait une connexion sortante. Il est préférable à garder les intrus plutôt que de garder les mauvaises choses de sortir à Internet car cela prendre la configuration beaucoup plus complexe de nier tout lien qui n'est pas explicitement configuré comme le permet.

Un pare-feu logiciel sur les autres pistes de main sur votre ordinateur et est au courant de l'application qui tente d'accéder au réseau. Vous pouvez laisser les choses à un niveau beaucoup plus granulaire et il fera plus pour éviter un mauvais programme (ou même un bon programme) d'accéder au réseau d'une manière que vous ne voulez pas, mais le côté bas est qu'une puce mauvais programme peut être en mesure de désactiver la fonctionnalité du pare-feu et obtenir le dépasser.

3
AJ Henderson

Cela peut ne pas être (( nécessaire , mais ayant des deux offres de protection au cas où quelque chose glisse par l'autre. Principe de base de la défense en profondeur.

Je pense à ça comme ça:

enter image description here

Je préférerais forcer un lockpick à choisir deux serrures pour entrer. Rente les ralentis et pourrait les faire passer juste pour une maison plus facile à briser.

1
David Stratton

Votre question peut être répondue à l'aide de deux termes: pare-feu basé sur résea et pare-feu à base d'hôte.

Vous pouvez rechercher leurs définitions de manuel dans Google. La définition facile à comprendre est la suivante:

  1. Le pare-feu de routeur (ou un autre matériel de pare-feu externe connecté au routeur en mode de prévention) appartient à pare-feu à base de résea. Parce que l'objectif est d'inspecter plusieurs périphériques liés au routeur. Par conséquent, il y a n ensemble générateur de règles de pare-feu identique pour tous les périphériques de résea.

  2. PC PAREWALL appartient à pare-feu à base d'hôte. Nous en avons besoin car certaines règles de pare-feu sont spécialement conçues pour cet hôte (PC) uniquement. Au fait, dans la pratique, un pare-feu basé sur l'hôte comprend également une fonction anti-malware (par exemple virus) pour protéger un seul hôte critique.

C'est votre cas. Si vous désignez une règle comme "Filtre certain TCP". Habituellement, il s'agit du travail du pare-feu basé sur le réseau. Si vous dupliquez la même règle sur PC, cela n'affecte pas la décision (accepter ou rejeter ou tomber).

La seule préoccupation est le Délai de traitement, car le paquet est inspecté deux fois. Pour un paquet unique ou de petits paquets, le délai supplémentaire peut être ignoré. Pour une grande quantité de paquets (par exemple million) et de réseau critique, le retard peut ne pas être ignoré. * La fonction d'inspection de paquets particulièrement profonde (DPI) est incluse.

1
TJCLK