Каковы причины использования брандмауэра в прозрачном режиме?

Поискав некоторую информацию в Интернете, я нашел только два преимущества прозрачный брандмауэр:

• Режим «Стелс», т.е. стал невидимым хостом в сети
• Легко устанавливается в существующую сеть без изменения адреса интернет-протокола (IP)

Но это выглядит немного неполным и, может быть, безосновательным. Похоже, у поставщиков (или разработчиков ПО с открытым исходным кодом) должны быть еще какие-то веские причины для реализации такого режима, а у клиентов — для покупки (использования) этой функциональности.

Самая большая причина, о которой я знаю? IPv6. В значительной степени причина, по которой был предложен IPv6, заключалась в том, чтобы обойти проблему исчерпания адресов IPv4 и избавиться от «уродливого взлома», который нат. Из-за комбинации IPv4+NAT слишком многие люди автоматически предполагают, что брандмауэр == нат это не так. Почти все брандмауэры могут использовать NAT, но не все решения NAT могут работать с брандмауэрами.

IPv6 предполагает незамаскированную сеть, что вызывает некоторые проблемы у людей, привыкших ко всему в масках. В сети IPv6 гораздо безопаснее исходить из того, что «общедоступный» IPv6-адрес не является гарантией маршрутизации.

Но это не только IPv6. В университете, в котором я работал, было распределение IPv4 /16, когда я там работал. У них были рабочие столы с «публичными» IP-адресами. Тем не менее, они все еще были защищены брандмауэром, потому что наши брандмауэры работали в «прозрачном» режиме. У нас было адресное пространство, почему бы и нет? Это также упростило обработку некоторых вариантов использования без необходимости играть в игры с переадресацией портов NAT и назначением общедоступных IP-адресов.

Если ваше определение прозрачности означает службу безопасности L2, варианты ее использования распространены даже в сетях IPv4.

• Группы безопасности AWS работают таким образом для своих ec2, виртуальное частное облако и другие сервисы.
• Группы безопасности Azure работают аналогичным образом.
• Я давно не работал с ним, но я считаю, что в сетях VMWare ESX был аналогичный вариант.

Эти системы являются ядром сетевой безопасности у основных поставщиков общедоступных облачных сервисов. Вы определяете список разрешающих/запрещающих правил, и они применяются к ресурсу. В AWS это интерфейс экземпляра EC2, Lambda или другого сервиса. Брандмауэр не существует на коробке, как iptables, а ниже виртуальной машины. Это делает его прозрачным устройством L2.

У вас может быть требование, чтобы некоторые хосты находиться в одном сегменте локальной сети и в то же время требуют очень разные политики безопасности. Например, вы можете захотеть находиться в той же сети, что и ваш ОБЪЯВЛЕНИЕ контроллеры домена (DC), и все же вы хотите защитить их и каким-то образом отделить от остальной сети.

Для этого вы добавляете прозрачный брандмауэр. С одной стороны, у вас будут ваши контроллеры домена, с другой — остальные, и все же они могут жить внутри одной сети, например 192.168.5.0/24, и думать, что у них нет никаких L3 устройства между ними. И все они будут иметь один и тот же шлюз по умолчанию, который, скорее всего, будет развернут на «небезопасной» стороне.

Другой случай может быть, когда речь идет о трафике, который действительно проходит через брандмауэр. Например, есть сервисы, которые даже не знают, что такое IP, IPv6 или любой другой L3, и общаются с помощью необработанных кадров Ethernet. АТА через Ethernet (АоЕ) первое, что пришло на ум. Я видел некоторые промышленные автоматы, которые обмениваются данными с использованием необработанного Ethernet. А когда дело доходит до выяснения Полки АоЕ доступны только определенным известным хостам, вы будете использовать что-то вроде этих «мост-брандмауэров».