Sempre que possível, você deve sempre separar seu firewall de seus serviços no nível do aplicativo. Algumas razões incluem:
- É mais seguro. Conforme mencionado, uma violação no firewall também significará uma violação em seu servidor de aplicativos e um acesso mais fácil aos seus dados se o firewall e o aplicativo estiverem localizados.
- As coisas são mais fáceis de configurar e solucionar problemas. Os problemas de configuração em seu aplicativo ou firewall geralmente serão mais fáceis de identificar quando os serviços forem separados.
- É potencialmente mais rápido. Um servidor não precisa fornecer apenas proxy / filtragem de firewall e processamento de aplicativos. Isso terá um nível variável de benefícios com base nas estatísticas de uso e nos requisitos de processamento de seu aplicativo.
- Você pode ter uma separação organizacional de responsabilidades, de modo que uma equipe de segurança não tenha que se preocupar tanto com a coordenação com uma equipe de desenvolvimento de aplicativos quando as alterações no servidor forem necessárias. Se os serviços estiverem separados, a equipe de segurança pode se preocupar com o firewall, e a equipe do aplicativo pode se preocupar com o servidor de aplicativos.
- Ah sim, e a execução de um firewall em um controlador de domínio do AD é apenas um erro do BAD. Não sei se esta é a sua situação ou não (provavelmente / espero que não).