iT邦幫忙

0

Host Base 與 Network Base 防火牆用處

小弟最近接觸firewall
看到了非常多類型的防火牆
其中又以Network Base硬體式防火牆 與 Host Base軟體式防火牆 感興趣
在什麼情況下會需要用到Network Base/Host Base
這兩個能防止的攻擊又有哪些

感謝專家指點迷津

2 個回答

5
raytracy
iT邦大神 1 級 ‧ 2020-03-28 00:24:16
最佳解答

CEH (道德駭客技術專家認證) 題庫曾經考過您問的這題:
What are the differences between network-based firewalls and host-based firewalls? (Select all that apply.)
不知這跟您問的動機或源頭是否相同?

論述此題之前, 要先把定義說清楚, 不然就可能發生像樓上那樣的誤會.

在學理層面討論 Network-Based or Host-Based 防火牆時, 這裡的 Host-Based 指的是:

OS 自帶的防火牆功能, 或第三方安裝在 OS 內的防火牆軟體, 僅用來防護進出 OS 本身的資料流量, 不提供對網路上其他設備的流量防護

通常這類防火牆的範例如 OS 原廠自帶的:

  • 微軟 OS 自帶的 Windows Firewall
  • Linux OS 自帶的 Netfilter (另掛 firewalld 或 ufw 管理工具)
  • MacOS 自帶的 Firewall

或者第三方開發的產品, 可安裝在 OS 內:

  • Windows 的 ZoneAlarm
  • Linux 的 CSF 或 Shorewall

這裡就容易發生一種誤會:
樓上所說的: FortiGate, CheckPoint, F5, RouterOS...等, 這些原本做硬體式防火牆 (通常也是 Network-based 形式) 的廠商, 它們都可以將自家軟體包裝成一個 VM, 讓客戶用自己的硬體主機, 來執行他們的 VM, 建立 Network-based 防火牆功能.....

這樣一來, 它們到底該算是 Network-based 還是 Host-based?

請參照我們一開始就講的定義, 顯然他們應該還是 Network-based, 因為他們會去保護網路上的其他設備, 而不是只有自己的 OS. 事實上, 前面說的這種 VM 型態的 Network-based 防火牆, 業界有另外專門的名詞來稱呼, 如:

  • Software Appliance Firewall
  • Virtual Applinace Firewall
  • Firewall Appliance

無論哪一種說法, 它們都應該被稱為 Appliance , 而不是 通稱的 Host-based Firewall. 因為他們實質的功能上就是 Network-based 防火牆, 只是用不同的形式將它包裝而已, 不能因為他們用軟體來跑, 就被歸類成 Host-based, 還是要從功能面來區分.

(另外還有一種 Application based firewall, 不過您這邊沒提, 而且他的性質也跟前面涵蓋的 Layer 3 防火牆完全不同, 這邊我們就不討論)

Network-based vs Host-based 的差異/優缺點, 是學校論文等級的題目, 不適合在這裡用小篇幅去解釋, 而且項目繁多, 不知道您想聽的重點是甚麼? 我們隨便講, 可能會掛一漏萬, 簡單的比較請參考:
NETWORK BASED FIREWALL VS HOST BASED FIREWALL

深入的話, 請改用 Google 學術搜尋, 去找您有興趣的項目:
https://scholar.google.com.tw/scholar?hl=zh-TW&as_sdt=0%2C5&q=Network+Base+vs+Host+Base+firewall&btnG=

在資安的要求上, 這兩種防火牆都必須同時部署, 不能只部署其中一種, 否則就沒有建立起 Layer 3 層級的防禦縱深....

bluegrass iT邦高手 1 級 ‧ 2020-03-28 23:15:54 檢舉

果然是大神, 你對, 我誤會了

那我也想請教看看

FortiCLIENT, CheckPoint SANDBLAST, PALOALTO TRAP
應該就是Host Base是吧?

raytracy iT邦大神 1 級 ‧ 2020-03-29 00:19:03 檢舉

沒錯, 您提的這些全都是 Host-based.../images/emoticon/emoticon37.gif

感謝感謝, 隔行如隔山阿
以前沒碰過硬體設備, 所以才會有這些問題....
感恩

2
bluegrass
iT邦高手 1 級 ‧ 2020-03-27 20:39:37

你問的真係很奇怪

硬體式防火牆 與 軟體式防火牆

就這樣不好? Network Base/Host Base是三小?

好了, 來回答你問題

以三大牌子為例

Fortigate, PaloAlto, CheckPoint

三者各自都有VM版本和硬體版本的防火牆, UTM功能上並沒有差異

真要說分別, 就是硬件都有專門的晶片的處理 流量/解密[SSL/IPSEC]

軟的用模擬去當晶片使用, 效能多數由主機的CPU+RAM+HDD去決定

然而, 軟跟硬都不重要

你想想一個好男人, 軟的就不是男人麼?

所以, 重點是該品牌的技術跟能力, 而不是平台.

我要發表回答

立即登入回答