iptables とハードウェアファイアウォール

（起こりうる）パフォーマンスの問題以外に、覚えておくべきことは、ファイアウォールが保護対象のサーバーと同じサーバー上にない場合、何らかの理由で誰かがするウェブサーバーにアクセスできたとしても、ファイアウォールを操作することはできないため、送信ルールなどを変更することはできません。

別途ファイアウォールを設定することで、どれでもネットワーク経由でアクセスする方法も用意されており、これによっても改ざんに対する防御力が高まります。

覚えておいてください。これは、別のボックスであるソフトウェア ファイアウォールにも当てはまります。ハードウェア ファイアウォールである必要はありません。

ネットワークのセグメント全体を保護しようとしている場合はハードウェア ファイアウォールを使用し、特定のアプリケーションを保護しようとしている場合はソフトウェア ファイアウォールを使用します。ハードウェアは、環境全体外の侵入者から空間を保護し、ソフトウェアは、環境の他の部分からでも特定の機能を保護します。

とはいえ、この場合は 1 つのボックスを保護するだけなので、ソフトウェアを選択することをお勧めします。いずれにしても、複数の Web サーバーを検討するまではパフォーマンスの低下はそれほど大きくないはずです。その場合は、ハードウェア ルートを検討する必要があります。

また、他のところでも述べられているように、ハードウェア ファイアウォールの方が全体的に信頼性が高い傾向があります。また、頻繁に変更する必要がある場合は、セットアップと維持が面倒になります。疑わしいトラフィックが Web サーバーとは別のデバイスにヒットすることでセキュリティが強化されるという点はよく理解できますが、全体的なセキュリティの強化は、単一サーバー レベルの追加コストでは正当化されないというのが私の見解です (いくつかの注目すべき例外はありますが)。成熟したソフトウェア ファイアウォールは、簡単にセットアップされ、Web 機能に必要なサービス以外には実行されていない、定期的にメンテナンスされるサーバー上にあれば、今日では安定して安全であるはずです。少なくとも、ファイアウォールが捕捉できない HTTP トラフィックを介してバッファ オーバーフロー攻撃が発生するまでは安定しているでしょう。

リレーがクリック音を立てない限り、それは常にソフトウェア ファイアウォールです。ソフトウェアがあまり知られておらず、ハッキング方法が誰にもわからないことを願うだけです。

私は、IPTables ベースの Linux ファイアウォール、Cisco PIX、市販のコンシューマー ボックスを多数所有しています。その中でも、Linux ファイアウォールは再起動が必要になる問題が最も少ないです。ほとんどのファイアウォールは、2 年を超える稼働時間を達成しています。システムの再起動が必要になる前に、UPS のバッテリーが切れてしまうことがよくあります。

05:35:34 稼働 401 日、4:08、ユーザー 1 人、負荷平均: 0.02、0.05、0.02 401 日前に UPS を交換しました。

30 台の Cisco PIX ファイアウォールのうち、3 台は 2 年後に故障し、5 台は 2 か月ごとに再起動する必要がありました。

「ハードウェア」ファイアウォールの大きな利点は、多くの場合、サイズがコンパクトで、可動部品がないことです。

ポーランドの大学の研究論文を見つけました。ハードウェアファイアウォールとソフトウェアファイアウォール間の分析。

この論文の結論を追加し、最も関連のある部分を太字で強調します。

ファイアウォールのスループットは、ネットワーク上で送信されるパケットのサイズに大きく依存することが観察されています。パケット長が 1 kB 以上の場合、直接接続の容量に非常に近い最高のスループットが観測されましたが、パケット長がそれより短い場合、スループットはかなり低下しました。ネットワーク ファイアウォールを使用する場合、パケットの最適なサイズは 1 kB であると結論付けることができます。非常に興味深い結論は、ソフトウェアベースのファイアウォールのパフォーマンスはハードウェアベースのファイアウォールのパフォーマンスと同等でした。。

ハードウェア ファイアウォールと仮想ファイアウォールは、サービス拒否攻撃に耐性があることが判明しました。ドキュメントに示されているように、これらには DoS 保護のメカニズムが組み込まれています。私たちは、これらのメカニズムが効果的であると確信しました。実際のところ、ソフトウェア ファイアウォールのセキュリティ レベルは、ホスト オペレーティング システムのセキュリティ レベルと同じです。