Duplo firewall na mesma rede ou útil?

Com uma única conexão externa, tal configuração seria altamente incomum.

Razões pelas quais posso pensar que um segundo firewall pode ser usado para um pequeno grupo.

1. Para acesso a uma intranet ou extranet
2. Para separação de unidade de negócios - ou seja, o departamento financeiro não pode acessar a auditoria, possivelmente por motivos legais
3. Se houver acesso remoto (VPN ou modem dial-up) configurado no dispositivo de firewall não frontal. - Não tenho certeza se isso é necessário para tal ambiente, mas é possível
4. Contratantes externos que aumentam o lucro de aparelhos de rede excessivamente grandes.
5. O segundo firewall é usado para oferecer acesso de extranet a parceiros de negócios. Eu duvido que esta pequena configuração esteja oferecendo acesso à extranet.

Boa sorte

Dois firewalls filtrando a mesma LAN soariam errados se estivessem de volta sem nenhuma outra rede.

Você precisa verificar esses firewalls e criar um mapa da rede para poder decidir. Só isso lhe dará as informações que você está procurando.

Útil apenas se forem executados por grupos diferentes.

A única situação em que você se depararia nesse cenário seria se estivesse em uma grande organização, como uma grande organização financeira ou governamental.

Pode ser que eles estejam rodando como um firewall interno e externo ... e então pode haver um switch de LAN entre um DMZ.

Não como eu projetava isso hoje em dia, mas alguns clientes insistem em duas camadas de firewalls de diferentes fornecedores no Inside / Outside of DMZ.

É possível que vários dispositivos de firewall possam ter seus lados de LAN voltados juntos (ou seja, para dentro), para fornecer isolamento alto para um núcleo de LAN interno seguro. Com um deles fornecendo proteção WAN convencional via NAT, o (s) outro (s) protege o acesso saída de sistemas LAN, por porta, por dispositivo ou ad-hoc "VLAN" .

Como cada dispositivo interno agora vê o lado "rígido" de um firewall, isso pode ajudar a evitar a contaminação cruzada provável e instantânea de toda a LAN, no caso em que um dispositivo conectado à LAN está / fica comprometido.

Quando implementado com roteadores de commodities de baixo custo, esse arranjo é essencialmente uma maneira econômica de implantar uma versão do recurso de segurança de porta encontrado apenas em roteadores de ponta (isto é, Cisco) com etiquetas de preço de 5 dígitos. No entanto, em um roteador por porta, os custos aumentam rapidamente, por isso isso só faz sentido para pequenas redes domésticas SOHO ou high-end.

A proteção de firewall de saída é cada vez mais importante nos dias de hoje devido a cenários de BYOD, bem como a um aumento nos ataques de malware direcionados por roteador. Os ataques de configuração de roteador, especialmente, podem ser reduzidos radicalmente na configuração descrita acima, definindo as interfaces de configuração do roteador como inacessíveis de "fora" de seus respectivos firewalls - ou seja, não disponível para o dispositivo conectado à porta.

Sem ir muito longe, mesmo além do BYOD, o controle de porta de saída é cada vez mais crucial, pois a confiança no software de firewall de software é desgastada. Configuração incorreta, abertura de porta UPnP, complexidade de ofuscação na interface de usuário do firewall, políticas de saída "permitir padrão", reconfiguração silenciosa pelo software instalador e interferência do usuário final são preocupações de longa data. Mas agora elas são compostas, nas versões mais recentes de alguns sistemas operacionais, por encapsulamentos ocultos de ipv6 (usados para telemetria, funções de publicidade e marketing que às vezes não podem ser desativadas) e / ou modos de bypass de firewall privilegiados com OS. É claro que os firewalls de software, sendo misturados com o dispositivo que eles deveriam proteger, oferecem, na melhor das hipóteses, segurança duvidosa, mas essas novas considerações parecem agora sugerir que são totalmente inúteis. Enfrentar cada dispositivo de rede local em um firewall de hardware voltado para fora torna irrelevantes os firewalls ligados a dispositivos e seus inúmeros problemas.