É vantajoso encadear vários firewalls no perímetro? [fechadas]

Pessoalmente, e esta é apenas a minha opinião, não vejo muita lógica em fazer isso. Se você pode cometer um erro em um firewall, pode cometer um erro em dois. Se alguém é desonesto, dois podem ser duvidosos. Por que não três ou quatro ou cinco, então?

Eu prefiro implementar um único firewall de classe empresarial que tenha um histórico confiável e comprovado e tenha uma parte independente, experiente e imparcial para validar sua configuração e operação para mim e realizar testes de invasão para mim.

É como o velho ditado: se um comprimido é bom para mim, então dois devem ser melhores, certo?

De uma perspectiva de segurança, você precisa avaliar os riscos do seu ambiente. Os dispositivos de encadeamento são potencialmente mais seguros (desde que sejam tecnologias diferentes), mas, como você evitou, cria (muito) mais sobrecarga de manutenção.

Pessoalmente, se você não é um grande alvo e / ou não vê um grande volume de tráfego, não acho que os benefícios de segurança superem o custo de sobrecarga de manutenção. Novamente, porém, depende do que você está protegendo e por quanto tempo você pode se dar ao luxo se algo acontecer e você tiver que reconstruí-lo. Isso é algo que só você pode calcular.

Do ponto de vista do desempenho, para que tipo de carga você está olhando? Um dos maiores problemas que vi ao encadear dispositivos em sua solução de firewall são os gargalos de processamento de hardware em que um dispositivo menor sufoca tudo porque não consegue processar as coisas rápido o suficiente.

O maior motivo é ter múltiplas barreiras de proteção. Vulnerabilidades de um sistema normalmente não estarão presentes em outro, por isso ele coloca mais uma variável no lugar para um atacante lidar. No entanto, ele começa a ir para o sul com pressa e é apenas marginalmente benéfico quando se considera coisas como ataques de DoS contra o dispositivo de borda extrema. Quando isso acontece, você está ferrado até resolver esse ataque.

Nas minhas próprias redes, uso uma abordagem multicamada. Isso geralmente se resume a um firewall de fronteira externo e à medida que você se aproxima de várias máquinas, mais camadas, incluindo um firewall baseado em host na maioria delas.

Então, embora eu diga que ter mais de um parâmetro é útil, não acredito que ter mais de uma camada em cada um desses parâmetros seja mais seguro.

É mais provável que você abra as portas erradas em uma configuração encadeada. Normalmente, quando há um problema no firewall, os administradores começam a abrir as portas até que funcionem e, em seguida, descobrem o que fechar. Com vários firewalls com várias operações de configuração, será fácil perder algo.

Barato não significa necessariamente desagradável. Por exemplo, um RouterStation Pro executando o OpenWRT e o Shorewall é um firewall muito capaz ... por US $ 79, sem incluir um caso e injetor de energia. O principal é que ele tem um sistema operacional de nível corporativo e memória e CPU suficientes para não comprometer a rede. Usar um desses recursos faz sentido, enquanto um dispositivo consumidor que executa seu firmware padrão realmente não funciona.