Традиционный брандмауэр против переадресации портов

Какая разница между переадресацией портов и брандмауэром?

Таким образом, эти так называемые межсетевые экраны, встроенные в бытовые маршрутизаторы ADSL, действительно что-то делают для защиты вашей сети?

Чтобы затронуть Ваш второй вопрос. Единственное, что делают потребительские маршрутизаторы, - это обеспечивают уровень NAT для вашей сети. Большинство из них используют для этого так называемую Stateful Packet Inspection. Это просто причудливый способ сказать, что они отслеживают все соединения, которые были инициированы из локальной сети, до тех пор, пока они не будут разрушены обычными средствами TCP / IP или тайм-аут после периода бездействия. Это обеспечивает сети некоторый уровень безопасности, так как пропускается только трафик, который инициируется изнутри сети. Есть несколько исключений из этого с UPNP и переадресацией портов, которые позволяют пересылать незапрошенный трафик.

Потребительские устройства, которые не предлагают корпоративный брандмауэр на базовом уровне, - это возможность иметь правила для входящего и исходящего трафика. Например, если вы хотите заблокировать трафик с или на определенный порт или хост. Вы также можете иметь расписания, которые определяют, когда правила применяются. Но, как уже упоминали другие, в некоторых случаях корпоративное оборудование может иметь дополнительные функции помимо брандмауэра, но это действительно выходит за рамки вопроса, который вы здесь задаете.

Переадресация портов - это одна из многих функций, которые может выполнять брандмауэр. Что касается вашего второго вопроса, то это зависит от модема. Ваш вопрос устанавливает планку довольно низко, то есть они лучше, чем ничего. Я бы сказал, что да, большинство из них предлагают защиту. Будут ли они такими же надежными и многофункциональными, как Cisco ASA 5505? Означает ли это, что вам нужно выйти и потратить 400 долларов на ASA 5505? Это также зависит. Если вы являетесь домашним пользователем, встроенный межсетевой экран в маршрутизаторе / модеме adsl, вероятно, достаточно хорош, если он включен и правильно настроен. Если у вас есть домашний офис и вам нужен надежный набор функций безопасности плюс поддержка плюс надежность, то непременно потратите 400 долларов. В противном случае просто убедитесь, что брандмауэр действительно включен и не широко открыт.

Кроме того, я просто использовал Cisco в качестве примера. Есть и другие варианты, которые вы можете рассмотреть, например, Watchguard, Fortinet и т. Д., Если вы заинтересованы в настоящем межсетевом экране soho.

По моему опыту, домашним маршрутизаторам не хватает емкости, регистрации, подотчетности (поддержка RADIUS или TACACS), сложности набора правил, избыточности, надежности оборудования, количества поддерживаемых физических сетей, VLAN, концентраторов VPN, датчиков обнаружения вторжений и множества других вещей. вам не нужно в домашней сети.

Домашние маршрутизаторы сложно неправильно настроить, а сложность - враг безопасности ... поэтому я бы сказал, что они, как правило, лучше, чем большие вещи ... если вам не нужны некоторые из перечисленных функций.

Не вступая в спор о брандмауэрах и защите, ваша единственная лучшая защита - это регулярные исправления безопасности и брандмауэр. Брандмауэры, встроенные в домашние маршрутизаторы, работают как брандмауэры, но не могут остановить многие из самих причиненных вирусов / эксплойтов / троянов, которые могут заразить компьютер от простого просмотра веб-страниц. То же самое относится и к антивирусному программному обеспечению, большинство из них практически бесполезны для новых эксплойтов или действий, совершенных пользователем (т. Е. Нажатием или посещением, где вы не должны). При домашней настройке переадресация порта будет подвергать компьютер, который является получателем этого порта, пересылке любым потенциальным атакам на этот порт.