Existe algum benefício de segurança em ter um firewall dedicado?

Acho que você quer dizer aqui por firewall um firewall baseado em hardware em oposição ao firewall baseado em software como o netfilter no Linux.

A maioria, se não todos, os roteadores suportam algum tipo de lista de controle de acesso (ACL) que pode atuar como um firewall. Firewalls de hardware dedicados são melhores porque são mais poderosos (podem processar mais tráfego) e suportam inspeção stateful e podem ter recursos mais avançados, como detecção de ataques (IDS / IPS). No final, isso depende dos seus requisitos e do hardware escolhido.

Muito disso depende do roteador em questão. Por exemplo, um módulo de serviços ASA em um switch Cisco Catalyst tem muito mais funcionalidade do que alguns firewalls dedicados de baixo nível. Mas então, o argumento aqui é, " é um blade de um firewall dedicado? "

O hardware dedicado geralmente oferece melhor funcionalidade para a função de firewall e inclui outros serviços de perímetro, como:

• IDS / IPS
• Gateways de nível de aplicativo mais robustos (certifique-se de que o TCP / 80 seja realmente HTTP e não SSH, esse tipo de coisa)
• VPNs, IPSec e SSL.
• Integração com sistemas de autenticação
• Capacidade de proxy de determinado tráfego de aplicativos

Há também um strong argumento para se ter um dispositivo dedicado para lidar com sua conexão de perímetro: Se um ataque externo remover seu dispositivo de borda, a única coisa afetada em sua rede é a conexão com o mundo externo.

Não há benefícios de segurança se você pode especificar funções no roteador. No entanto, não confunda o ACL com um firewall.

Um firewall separado é melhor porque, então, seu roteador só precisa usar seus recursos para rotear, enquanto seu firewall faz sua parte com seus próprios recursos. Se você colocar esses dois em uma máquina, eles compartilharão recursos e poderá começar a dominar os recursos quando as coisas correrem mal (DDoS).

Além disso, um firewall separado, por vezes, vem com recursos mais simples, como o IDS, inspeção profunda de pacotes, etc ....

Outra dica ao comprar um firewall, não olhe para a largura de banda, mas pergunte quantos pacotes pode ser processado por segundo. Geralmente eles anunciam larguras de banda altas de 1 Ggit, mas isso é calculado em pacotes de 64 KB. Então, se alguém quiser atacá-lo, basta enviar toneladas de pacotes de 4 KB, o que fará com que sua taxa de transferência pare de funcionar.

Uma das principais vantagens de uma caixa de firewall dedicada, especialmente se o firewall-setup-in-a-router é um conjunto de regras iptables feitas à mão (como a minha é) é fácil gerenciamento e manutenção. Isso não é um benefício de segurança diretamente, mas qualquer coisa que torne a manutenção de menos problemas é um benefício indireto, mas quantificável nessa área.

Caixas de firewall também dedicadas tendem a fazer longe mais do que apenas filtragem de pacotes, boas tendem a oferecer certos tipos de proteção DoS, opções mais avançadas de inspeção de pacotes (conexão via porta TCP 80 realmente um fluxo HTTP?), e assim por diante.

Embora alguns roteadores também ofereçam esse tipo de conjunto de recursos, você geralmente descobrirá que eles não são tão bons quanto um firewall dedicado projetado para essa tarefa - por exemplo, você pode se surpreender com o tempo complexo de CPU que as regras de inspeção de pacotes podem levar. e caixas de firewall dedicadas terão o poder de processamento (por meio de CPUs mais rápidas e / ou alguma aceleração lógica em chips dedicados para fins especiais) para manter uma linha de 100 Mbits ou mesmo Gbits saturada onde um roteador que possui recursos de firewall conectados apenas com software (especialmente " "roteadores" de nível de consumidor) talvez não.

Pense no roteador e no FW como linhas de defesa separadas contra o invasor. Dois é melhor que um

Pense em um firewall como um mergulho de ovelhas, onde tudo é "limpo" antes que as informações (porque isso é o que os dados são) passem para o próximo estágio de transmissão.

Se você puder lidar com a leve degradação da velocidade, baseie sua segurança de rede em uma loja antiquada e promova a filosofia. Tudo, incluindo e-mail, é temporariamente armazenado no firewall, AV verificado antes de encaminhar para o destino (interno ou externo)