現在、ISA 2004 を実行しており、まもなく Untangle ボックスを実行する予定です。私は、これらのより高度なソフトウェア ファイアウォールを、低機能なハードウェア ファイアウォール (中級の消費者向けルーターなど) の背後に配置する方が、少しだけ安全だと感じてきました。そのため、基本的には、ハードウェア ファイアウォールから、当然ながらより複雑な構成を持つソフトウェア ファイアウォールへのポート転送を必要に応じて実行しています。
私の考えでは、これで少なくともソフトウェア ファイアウォールで誤って何かを開いてしまうことや、ソフトウェア ファイアウォールの不具合から多少は保護されます。ただし、実際に役立つのはエッジでポートをブロックすることだけです (まあ、それよりは少しましですが、大したことはありません)。さらに、構成が複雑になり、各システムを個別にテストすることが難しくなります。
安価なルーター/ファイアウォール ボックスを捨てるべきでしょうか?
答え1
個人的には、これはあくまで私の意見ですが、これを行うことにあまり論理的ではないと思います。1 つのファイアウォールでミスを犯す可能性があるなら、2 つでもミスを犯す可能性があります。1 つが危険であれば、2 つも危険である可能性があります。では、なぜ 3 つ、4 つ、または 5 つではだめなのでしょうか?
私は、信頼性が高く、実績のある単一のエンタープライズ クラスのファイアウォールを実装し、独立した、経験豊富で、公平な第三者にその構成と動作を検証してもらい、侵入テストを実行してもらうことを希望しています。
それは古い格言のようなものです。「1 錠で良いなら、2 錠ならもっと良いはずだ」ですよね?
答え2
セキュリティの観点から、環境のリスクを検討する必要があります。デバイスをチェーン化すると、潜在的にセキュリティが強化されます (異なるテクノロジである限り)。ただし、おっしゃるとおり、メンテナンスのオーバーヘッドが (大幅に) 増加します。
個人的には、大きなターゲットでない場合やトラフィック量が多くない場合は、セキュリティ上の利点がメンテナンスのオーバーヘッドのコストを上回るとは思いません。ただし、これは保護対象と、何かが起こって再構築が必要になった場合にダウン状態をどの程度長く維持できるかによって異なります。これは、自分でしか計算できないことです。
パフォーマンスの観点から、どのような負荷が予想されますか? ファイアウォール ソリューションでデバイスを連鎖させるときに私が目にした最大の問題の 1 つは、ハードウェア処理のボトルネックです。これは、1 つの小さなデバイスが十分な速度で処理できないために、全体の処理が滞ってしまうというものです。
最大の理由は、複数の保護バリアを設けることです。通常、あるシステムの脆弱性は別のシステムには存在しないため、攻撃者が対処しなければならない変数が 1 つ増えることになります。しかし、これは急速に悪化し始め、最先端デバイスに対する DoS 攻撃などを考慮すると、ほんのわずかしかメリットがありません。そうなると、その攻撃を解決するまで困ったことになります。
答え3
私のネットワークでは、多層アプローチを採用しています。通常は、外部境界ファイアウォールを使用し、さまざまなマシンに近づくにつれて、ほとんどのマシンにホストベースのファイアウォールを含むより多くのレイヤーを使用します。
したがって、複数のパラメータを持つことは便利だとは思いますが、これらのパラメータごとに複数のレイヤーを持つことがより安全になるとは思いません。
答え4
安いからといって必ずしも質が悪いというわけではありません。例えば、ルーターステーションプロOpenWRT と Shorewall を実行すると、非常に高性能なファイアウォールが実現します。価格は 79 ドルで、ケースとパワー インジェクターは含まれていません。重要なのは、エンタープライズ グレードのオペレーティング システムと、十分なメモリと CPU を備えているため、ネットワークのボトルネックになる可能性が低いことです。これらのうちの 1 つを使用することは理にかなっていますが、デフォルトのファームウェアを実行するコンシューマー グレードのデバイスでは、実際には意味がありません。