iptables versus firewall de hardware

Além de (possíveis) problemas de desempenho, uma coisa a ter em mente é que, se o seu firewall não estiver no mesmo servidor que está protegido, se alguém fizer obter acesso ao servidor da web , eles ainda não podem mexer com o firewall, o que significa que eles não podem mudar suas regras de saída, etc.

Um firewall separado também pode ser configurado para não ter nenhuma maneira de acessá-lo através da rede, o que, novamente, aumenta o risco de serem adulteradas.

Tenha em mente que isso também é verdade para um firewall de software que é uma caixa separada, não precisa ser de hardware.

Eu usaria um firewall de hardware se você estiver tentando proteger um segmento da rede como um todo e um firewall de software se estiver tentando proteger um aplicativo específico. O hardware protege seu espaço de intrusos fora de seu ambiente geral, e o software protege uma função específica até mesmo de outras partes do ambiente.

Dito isto, neste caso você está protegendo uma única caixa, então eu apenas usaria o software. O impacto no desempenho não deve ser tão ruim até o momento em que você consideraria mais de um servidor da Web de qualquer maneira, e nesse caso você desejará ver a rota do hardware.

E sim, como observado em outros lugares, os firewalls de hardware tendem a ser mais confiáveis. Também é mais difícil configurar e manter-se em linha, caso precise modificá-los com frequência. Os pontos levantados com relação à maior segurança de ter um tráfego suspeito em um dispositivo que é separado do servidor da Web são bem-feitos, mas minha opinião é que o aumento geral na segurança não é justificado pelo custo adicional no nível de um único servidor (com algumas exceções notáveis). Um firewall de software maduro, configurado de maneira simples e em um servidor mantido regularmente, que não possui outros serviços além dos necessários para sua funcionalidade da Web, deve ser estável e seguro nos dias de hoje. Ou, pelo menos, será até você começar a obter explorações de estouro de buffer passando pelo tráfego HTTP que o firewall não detectará de qualquer maneira.

A menos que haja um relay clicando, é sempre um firewall de software. Você está apenas esperando que o software seja obscuro o suficiente para que ninguém saiba como hackeá-lo.

Eu tenho e tive muitos IPTables com base em firewalls Linux, Cisco PIXs e caixas de consumo prontas para uso. De todos eles, os firewalls do Linux têm menos problemas em precisar de uma reinicialização. A maioria excedeu mais de 2 anos de tempo de atividade do consentimento. Eu costumo ter as baterias fracas no no-break antes que o sistema precise de uma reinicialização.

05:35:34 até 401 dias, 4:08, 1 usuário, média de carregamento: 0,02, 0,05, 0,02 Eu substituí o UPS 401 dias atrás.

Dos 30 firewalls Cisco PIX, 3 morreram após 2 anos e 5 tiveram que ser reinicializados a cada 2 meses.

A grande vantagem dos firewalls de "hardware" é muitas vezes o tamanho compacto e esperamos que não haja partes móveis.

Já foi dito, mas se você está lidando com apenas UMA caixa de produção, e é a única caixa de produção que você vai ter naquele ambiente no futuro, e não é uma caixa que terá que cumprir com qualquer questões regulatórias (PCI, etc) - então apenas fazendo filtragem no host deve ser muito bem.

Você não menciona redundância ou algo assim, então é provavelmente um exagero.

Eu ia dizer que se você tem o orçamento para isso, pegue uma caixa separada como firewall de qualquer maneira (não é errado ...) - mas IMO você estaria adicionando um equipamento extra para quebrar - então Se a carga não for uma preocupação e você não estiver implantando uma configuração tolerante a falhas, um servidor vazio sozinho não exige um firewall.

Na minha opinião, o OpenBSD é a solução. Tenha um hardware dedicado rodando o OpenBSD. Lá você pode configurar seu firewall e outras coisas.

É mais seguro já que o firewall ObenBSDs é executado no espaço do kernel, onde o iptables em uma máquina Linux é executado no espaço do usuário.