Estou tentando determinar se posso usar um único firewall para toda a minha rede, incluindo servidores de clientes, ou se cada cliente deve ter seu próprio firewall. Descobri que muitas empresas de hospedagem exigem que cada cliente com um cluster de servidores tenha seu próprio firewall. Se você precisar de um nó da web e um nó de banco de dados, também precisará obter um firewall e pagar outra taxa mensal por ele.
Eu tenho espaço de cores com vários servidores de virtualização KVM que hospedam serviços VPS para muitos clientes diferentes. Cada host KVM está executando um firewall de iptables de software que permite que portas específicas sejam acessadas em cada VPS. Eu posso controlar quais portas qualquer VPS tem aberto, permitindo que um VPS web seja acessado de qualquer lugar nas portas 80 e 443, mas bloqueando completamente um VPS de banco de dados para o lado de fora e permitindo apenas que outro VPS o acesse. A configuração funciona bem para minhas necessidades atuais.
Observe que não há um firewall de hardware protegendo os hosts de virtualização no momento. No entanto, os hosts KVM só têm a porta 22 aberta, não estão executando nada, exceto KVM e SSH, e até mesmo a porta 22 não pode ser acessada, exceto dentro do netblock.
Estou pensando em possivelmente repensar minha rede agora que tenho um cliente que precisa fazer a transição de um único VPS para dois servidores dedicados (um da Web e um do DB). Um cliente diferente já tem um único servidor dedicado que não está atrás de nenhum firewall, exceto o iptables em execução no sistema.
Devo exigir que cada cliente de servidor dedicado tenha seu próprio firewall dedicado? Ou posso utilizar um único firewall em toda a rede para vários clusters de clientes?
Estou familiarizado com o iptables e atualmente estou pensando em usá-lo para qualquer firewall / roteador que eu precise. Mas eu não necessariamente quero usar 1U de espaço no meu rack para cada firewall, nem o consumo de energia que cada servidor de firewall terá. Então, estou considerando um firewall de hardware. Alguma sugestão sobre o que é uma boa abordagem?