Kanskje litt mye off topic, men helt generelt i forhold til det opprinnelige spørsmålet. For å returnere litt til det opprinnelige:
Man bør som et minimum ha en ytre fysisk firewall som primært omfatter et pakkefilter. Man kan benytte statefull inspection eller ikke. Det kan ikke settes opp noen generell regel for hva som er sikkrest, stateful inspection eller ikke. Dette kommer ann på konfigureringen. Det er letterre å lage en god og effektiv konfigurering av en firewall med statefull inspection slik at dette indirekte kan bidra til en høyere grad av sikkerhet. På den annen side så legger en statefull inspection firewall beslag på mere minne og mere prosessorresurser enn en static stateless firewall slik at det kanskje muliggens kan ligge noen grad av risiko i dette. Her på eksperten så hevedes det ofte at staefull inspection firewalls er mere sikkkre en static firewalls. På net-faq.dk så hevder man det motsatte. "Proxyfirewalls er de mest grundige (og sikre) mens stateful inspection giver en ringere sikkerhed men langt højere hastighed." Disse påstandene medfører etter mitt syn ikke riktighete, og man kan ikke som en generell regel si at den ene er mere sikker enn den annen. Det kommer ann på konfigureringen og en del andre forhold.
Den første ytre firewall kan enten ha to porter eller den kan ha tre. Det vil være snakk om inngang, utgang og eventuelt en dmz utgang.
Viktig i denne sammenheng er også nettverkets topologi og spesielt om man har planlagt å bruke NAT og lokale interne adresser eller ikke. NAT medfører på generelt grunnlag en høyere grad av sikkerhet, samtidig som det kan følge med noen komunikasjonsmessige ulemper. NAT gir også en billigere løsning.
Dersom man benytter en tre port løsning i den yttre firewall så settes de eksterne servere som man har til dmz porten og Lan kommer da på "Den invendige" porten.
En bedre måte å lage dmz på, men som koster litt mere det er å benytte 2 stk firewalls en ytre firewall, så følger et dmz segment med servere fram til den indre firewall og så følger selve lan segmentet. Det er vanligvis mulig å kombinere en slik løsning med en dobbelt NAT løsning slik at man for eksempel lar dmz segmentet kjører på 10.0.x.x serien mens Lan segmenter kjører på for eksempel 192.168.x.x En slik dobbelt NAT løsning er i utgangspunktet en meget sikker løsning med hensyn til arbeidsstasjonene på LAN.
Mest utsatt for angrep vil imidlertid være de serverene som er koplet opp mot internett hele tiden. Den største risiko her vil ofte være relatert til de porter og til den trafikk som slipper gjennom en korrekt konfigurert firewall som normal og tillatt trafikk. For å motvirke dette så vil det først og fremst være snakk om å patche og oppdatere serverfunksjonene.
Proxy firewalls vil vel først og fremst, slik som jeg ser det, normalt ha sin anvendelse i forbindelse med å gi utvidet beskyttelse til arbeidsstasjoner. Ettersom det er serverfunksjonene og ikke workstattions som utgjør de mest utsatte deler av nettverket så bør penger og oppmerksomhet rettes mot disse serverfunksjonene. For relativt små annlegg så finnes det vel ikke noen proxy firewalls på markedet som er særlig godt egent i en slik sammenheng ??
Dersom man velger en dobbel fysisk firewall løsning event med dmz midt mellom så kan man hvis man ønsker det kombinere den indre firewall med innebygde server funksjoner. (Aller sikkrest blir det nok hvis man lar være å lage en slik kombinasjon, men bengene teller vel.)
Hvis man velger en slik indre kombinert server/firewall så kan man for eksempel benytte Microsoft 2000 server med ISA server proxy/firewall i denne rollen eller man kan benytte en Linux installsjon basert på netfilter eventuelt hvis man ønker det i kombinasjon med Squid proxy. Funksjonaliteten til Microsoft produktet og Linux er noenlunde den samme men prisen er ikke helt den samme.
Det finnes ellers Linux distribusjoner som er gratis og som er satt opp ferdig for en slik rolle:
http://www.smoothwall.org og
http://www.e-smith.orgLinux kan generelt settes opp som static packet filter, som statfull inspection firewall eller som proxy firewall alt etter hvike egenskaper man finner formålstjenelig og hensiktsmessig i forholt til den aktuelle sammenheng. Det medfører neppe riktighet at man bare kan hevde en generell regel: Jo mere desto bedre.
Andre generelle Linux distribusjoner for eksempel Red Hat 9.0 egener seg etter mitt syn vel så godt i firewall/router/proxy rollen fordi den er mere oppdatert, men her blir konfigureringen mere komplisert.
Enten man velger en løsning basert på en tre port løsning med wan/lan/dmz eller en dobbelt firewall løsning eventuelt med integrerte serverfunsjoner, Linux eller Windows 2000/ISA server så bør man hele tiden tenke "dybde" i sikkerhetsløsningene slik at man ikke risikerer at en enkelt feil konfigurering legger veien åpen for adgang til hele anlegget. Jo flere sikkerhetsbarierer en hacker vil kunne møte desto bedre.
Hackrre befinner seg ikke nødvendigvis ute på wan, de kan også befinne seg inne på lan eller de kan i teorien ha kommet forbi en ytre firewall og inn på lan. Alle arbeidsmaskiner kan med fordel også være sikret med en firewall, enten for eksempel det innebygde pakkefiler i Win 2000 eller den innebygde firewall i Win XP.
Kombinerer man en slik dobbelt firewall løsning ut mot internett, for eksempel først en ytre harware firewall, så for eksempel en Linux/router/firewall eller tilsvarende en Windows 2000/ISA server og så personal eller innebygde firewalls på alle arbeidsstasjonene så har man en bra løsning.
Dersom man ønsker å øke den effektive hastigheten så kan man med fordel aktivisere proxy delen av ISA serveren eller Squid proxy på Linux, men dette vil i praksis ha lite å si fra eller til for sikkerheten. (Ut fra et typisk trussel/sårarhetsbilde for hele annlegget, slik som det ofte vil være.)
Til sist når man har fått det hele opp å kjøre så bør man kjøre sikkerhets/sårbarhetsscan mot anlegget som helhet både fra internett/wan og inne fra LAN. Jeg tror at det man ofte vil oppdage som de primære risikofaktorene er relatert til de ordnære og ønskede server funksjonene som kjører ute på DMZ. Slike sikkerhetssjekk bør også gjennomføres med regelmessige mellomrom.
Enig ??