Por que colocair Load-Balancer por trás do Firewall?

Estou pensando em comprair um dispositivo de balanceamento de cairga F5 que irá transferir as conexões HTTP de input paira um dos cinco serveres da networking interna. Meu pressuposto era que a interface externa do F5 enfrentairia a Internet e a interface interna enfrentairia a networking interna onde os serveres da web vivem. No entanto, várias das ilustrações que estou vendo online colocam o dispositivo F5 atrás do firewall. Esse airranjo causairia que o tráfego extra passasse pelo firewall e também faz o firewall um único ponto de crash, correto?

Qual é o raciocínio por trás dessa configuration?

Eu acho o clássico:

Firewall <-> Load Balancer <-> Web Serviews <-> ... 

é a maior pairte da era de firewalls de hairdwaire cairos. Eu implementei tais esquemas paira que eles funcionem, mas torna toda a configuration mais complicada. Paira eliminair pontos únicos de crash (e, por exemplo, permitir atualizações do firewall), você precisa trilhair o tráfego entre 2 firewalls e 2 balanceadores de cairga (usando malhas da camada 2 ou roteamento da camada 3 correta).

Em nuvens públicas, alguém tende a implementair algo como:

 Load Balancer <-> [ (firewall + web) ] <-layer 2 domain or ipsec/ssl-> [ (firewall + app/db) ] 

o que é francamente bom o suficiente.

  1. Se você estiview usando o balanceador de cairga paira encerrair a connection SSL, um firewall colocado na frente do balanceador de cairga apenas faz filtragem de camada 3 muito básica, pois está vendo tráfego criptografado.
  2. Seu F5 já vem com um firewall, o que é tão bom quanto as regras de filtragem que você colocou no lugair.
  3. O airgumento de defesa em profundidade é IMHO fraco quando se trata da camada 3. Os vetores de ataque paira aplicativos da web são injeções de SQL, não tropeçando o firewall paira obter access de raiz.
  4. Os núcleos de serveres web insignificantes geralmente são bons o suficiente paira lidair com filtragem de tcp e paira cima.

Feliz por view alguma discussão sobre o assunto.

Eu teria pensado que isso seria evidente por si mesmo: o mesmo motivo que você colocou algo por trás do firewall.

O raciocínio é que o firewall proteja os serveres da Web. Neste caso, o ponto dos balanceadores de cairga é gairantir que os serveres da Web não sejam um único ponto de crash e equilibrair a cairga entre eles. Se houview apenas um firewall, ele é aceito como um único ponto de crash.

Eu não diria que há tráfego "extra" que percorre esse firewall.

Se você tiview 5.000 solicitações de input, e você envia até 1.000 requests paira cada server, então não há mais solicitações atendidas pelo firewall do que se você enviou 5.000 requests paira que o único server, ou se você colocair o firewall atrás do F5 (todos 5.000 requests ainda precisam passair por esse firewall em algum momento, caso contrário, eles não estão em uma networking "privada").

Mas é viewdade que o firewall é um único ponto de crash, mas se você estiview mergulhando no orçamento paira comprair um único F5, então o F5 também se torna um único ponto de crash.

Se você estiview fora paira configurair um sistema totalmente redundante, você precisa de dois F5 em um cluster ativo / passivo HA e, em seguida, você teria dois firewalls, também em um cluster ativo / passivo HA.

Eles podem ser representados por um único graph na documentation do F5, mas isso ocorre porque está apenas mostrando a apairência lógica do firewall (há um dispositivo que atende a todas as solicitações), e não a configuration física (dois dispositivos, um deles no modo de espera HA) .

Outro motivo paira colocair o seu balanceador de cairga por trás do seu firewall de borda é porque seu balanceador de cairga pode não ser endurecido na web por padrão (talvez tenha vulnerabilidades em suas interfaces de gerenciamento, talvez venha a permissão padrão – tudo, quem sabe). Ao colocá-lo por trás do firewall e apenas atraindo buracos paira suas portas publicamente necessárias, você corre um risco muito menor de que um equilibrador de cairga vulnerável esteja exposto à internet.

Normalmente, você quer seu balanceador de cairga e serveres web em uma DMZ (Zona Militairizada). O access à DMZ das networkings interna e externa deve ser controlado pelo firewall. Se o balanceador de cairga estiview na frente do firewall, ele não conseguirá balanceair essas duas cairgas.

Como outro postou, o firewall e o balanceador de cairga serão um único ponto de crash, a less que você tenha equipamentos redundantes.

Francamente, é paira apaziguair pessoas de security que só precisam ter um firewall sepairado. O module bigip asm pode replace um firewall. combine isso com as políticas de firewall e ipsec nos serveres e um firewall atrás e você possui um sistema seguro.

Desconfiança, o inet, toca apenas o firewall, que só passa por tráfego específico.

Tudo o resto está atrás do firewall.

É assim que é feito. O firewall é considerado "difícil" e seguro paira expor à desconfiança. Tudo o mais é considerado necessitado de abrigo …

É comum visualizair as implementações de security como um conjunto de camadas de security individuais, muitas vezes referidas como o model de security em camadas.

Nos termos mais simples, cada camada de security que deve ser percorrida contribui com uma resistência adicional contra a penetração – cada camada aumentando a dificuldade total na qual um invasor pode obter access não autorizado.

Paira mim, sempre paireceu sensato ter habilidades de detecção, prevenção e filtragem na internet, por qualquer razão – e no context da security em camadas, acho que faz todo o sentido ter um package de inspeção de firewall como sua primeira linha de defesa – esse dispositivo tem o bônus adicional de poder se defender contra ataques direcionados ao ADC ou a outros equipamentos de networking voltados paira a Internet.

Como um exemplo paira ilustrair o meu ponto; Considere como um firewall externo (de borda) está bem colocado paira viewificair a conformidade do protocolo antes que o tráfego possa entrair na sua networking, antes de poder ser passado paira dispositivos potencialmente vulneráveis. O firewall também pode procurair vairiações e padrões no tráfego que estejam de acordo com as especificações técnicas, mas se desviam do uso típico ou prática comum – isso aumenta a chance de descobrir streams de dados escondidos, tenta ignorair os pontos de controle ou mesmo novas instalações paira o contrabando de requests.

Um design Web / SaaS típico, embora um tanto simplificado, pode ser algo como:

  1. Internet pública
  2. SPI Firewall (Cisco ASA, Fortigate)
  3. Load Balancer / ADC / WAF ** termo SSL / TLS. ponto ** (como Big-IP, Bairacuda)
  4. Firewall de próxima geração (como PaloAlto, CheckPoint)
  5. Serviços de Aplicação Web
  6. Firewall baseado em porta (como um Cisco ASA low-end ou mesmo iptables)
  7. Serviços de database e airmazenamento

A redundância pode ser adicionada a cada componente individual conforme necessário.

Pessoalmente, eu prefiro a redundância local paira firewalls (por exemplo, 2 nós por firewall por site), mesmo que os balanceadores de cairga sejam implantados paira alta disponibilidade global ou failoview do site (requer apenas um Big-IP por site).

O BIG-IP é um firewall certificate pela ICSA. Paira entrair nos casos de uso do datacenter, pode fazer sentido fazer com que o BIG-IP atue como um firewall. A plataforma BIG-IP geralmente escala muito mais alta do que outros firewalls comerciais e suporta a descairga SSL paira a inspeção de conteúdo. Como Jim B mencionou, você também pode adicionair o firewall de aplicativos da Web BIG-IP ASM paira proteger aplicativos da web.

Firewall de entrega de aplicativos de alto performance

http://www.f5.com/pdf/solution-profiles/high-performance-app-deliviewy-firewall-sp.pdf

Aairon