iptables versus firewall de hardware

Question 1

Aparte de (posibles) problemas de rendimiento, una cosa a tener en cuenta es que si su firewall no está en el mismo servidor que el que está protegiendo, si de alguna manera alguienhaceobtienen acceso al servidor web, todavía no pueden alterar el firewall, lo que significa que no pueden cambiar sus reglas de salida, etc.

También se podría configurar un firewall separado para que no tengacualquierforma de acceder a él a través de la red, lo que nuevamente aumenta sus defensas contra la manipulación.

Tenga en cuenta que esto también se aplica a un firewall de software que es una caja separada, no tiene que ser uno de hardware.

Answer

Aparte de (posibles) problemas de rendimiento, una cosa a tener en cuenta es que si su firewall no está en el mismo servidor que el que está protegiendo, si de alguna manera alguienhaceobtienen acceso al servidor web, todavía no pueden alterar el firewall, lo que significa que no pueden cambiar sus reglas de salida, etc.

También se podría configurar un firewall separado para que no tengacualquierforma de acceder a él a través de la red, lo que nuevamente aumenta sus defensas contra la manipulación.

Tenga en cuenta que esto también se aplica a un firewall de software que es una caja separada, no tiene que ser uno de hardware.

Question 2

Yo usaría un firewall de hardware si intenta proteger un segmento de la red en su conjunto, y un firewall de software si intenta proteger una aplicación específica. El hardware protege su espacio de intrusos fuera de su entorno general y el software protege una función específica incluso de otras partes de su entorno.

Dicho esto, en este caso estás protegiendo una sola caja, así que yo me quedaría con el software. El impacto en el rendimiento no debería ser tan grave hasta el momento en que considere más de un servidor web, en cuyo caso querrá considerar la ruta del hardware.

Y sí, como se señaló en otra parte, los firewalls de hardware tienden a ser en general más confiables. También es más complicado configurarlos y mantenerlos rectos si tienes que modificarlos con frecuencia. Los puntos planteados sobre el aumento de la seguridad que supone que el tráfico sospechoso llegue a un dispositivo independiente del servidor web están bien planteados, pero mi opinión es que el aumento general de la seguridad no se justifica por el coste adicional a nivel de un único servidor. (con algunas excepciones notables). Un firewall de software maduro, configurado de forma sencilla y en un servidor que se mantenga periódicamente y que no tenga ningún otro servicio ejecutándose más allá de los necesarios para su funcionalidad web, debería ser estable y seguro en estos días. O, al menos, lo será hasta que comience a tener vulnerabilidades de desbordamiento del búfer en el tráfico HTTP que el firewall no detectará de todos modos.

Answer

Yo usaría un firewall de hardware si intenta proteger un segmento de la red en su conjunto, y un firewall de software si intenta proteger una aplicación específica. El hardware protege su espacio de intrusos fuera de su entorno general y el software protege una función específica incluso de otras partes de su entorno.

Dicho esto, en este caso estás protegiendo una sola caja, así que yo me quedaría con el software. El impacto en el rendimiento no debería ser tan grave hasta el momento en que considere más de un servidor web, en cuyo caso querrá considerar la ruta del hardware.

Y sí, como se señaló en otra parte, los firewalls de hardware tienden a ser en general más confiables. También es más complicado configurarlos y mantenerlos rectos si tienes que modificarlos con frecuencia. Los puntos planteados sobre el aumento de la seguridad que supone que el tráfico sospechoso llegue a un dispositivo independiente del servidor web están bien planteados, pero mi opinión es que el aumento general de la seguridad no se justifica por el coste adicional a nivel de un único servidor. (con algunas excepciones notables). Un firewall de software maduro, configurado de forma sencilla y en un servidor que se mantenga periódicamente y que no tenga ningún otro servicio ejecutándose más allá de los necesarios para su funcionalidad web, debería ser estable y seguro en estos días. O, al menos, lo será hasta que comience a tener vulnerabilidades de desbordamiento del búfer en el tráfico HTTP que el firewall no detectará de todos modos.

Question 3

A menos que haya un relé haciendo clic, siempre es un firewall de software. Sólo esperas que el software sea lo suficientemente oscuro como para que nadie sepa cómo hackearlo.

He tenido y he tenido muchos firewalls Linux basados en IPTables, Cisco PIX y cajas de consumo listas para usar. De todos ellos, los firewalls de Linux son los que tienen menos problemas al necesitar un reinicio. La mayoría ha superado los dos años de tiempo de funcionamiento del consentimiento. Tiendo a que las baterías del UPS se agoten antes de que sea necesario reiniciar el sistema.

05:35:34 hasta 401 días, 4:08, 1 usuario, carga promedio: 0.02, 0.05, 0.02 Reemplacé el UPS hace 401 días.

De los 30 firewalls Cisco PIX, 3 murieron después de 2 años y 5 tuvieron que reiniciarse aproximadamente cada 2 meses.

La gran ventaja de los cortafuegos de "hardware" suele ser su tamaño compacto y, con suerte, la ausencia de piezas móviles.

Answer

A menos que haya un relé haciendo clic, siempre es un firewall de software. Sólo esperas que el software sea lo suficientemente oscuro como para que nadie sepa cómo hackearlo.

He tenido y he tenido muchos firewalls Linux basados en IPTables, Cisco PIX y cajas de consumo listas para usar. De todos ellos, los firewalls de Linux son los que tienen menos problemas al necesitar un reinicio. La mayoría ha superado los dos años de tiempo de funcionamiento del consentimiento. Tiendo a que las baterías del UPS se agoten antes de que sea necesario reiniciar el sistema.

05:35:34 hasta 401 días, 4:08, 1 usuario, carga promedio: 0.02, 0.05, 0.02 Reemplacé el UPS hace 401 días.

De los 30 firewalls Cisco PIX, 3 murieron después de 2 años y 5 tuvieron que reiniciarse aproximadamente cada 2 meses.

La gran ventaja de los cortafuegos de "hardware" suele ser su tamaño compacto y, con suerte, la ausencia de piezas móviles.

Question 4

Encontré un trabajo de investigación de la universidad de Polonia que hace unaAnálisis entre firewalls de hardware y software..

Agregaré la conclusión de este artículo y resaltaré las partes más relevantes en negrita.

Se ha observado que el rendimiento de los firewalls depende en gran medida del tamaño del paquete transmitido a través de la red. El rendimiento más alto, muy cercano a la capacidad de conexión directa, se observó para paquetes de longitud igual o superior a 1 kB, para paquetes de longitudes más pequeñas el rendimiento fue considerablemente menor. Podemos concluir que el tamaño óptimo de paquete es 1 kB, mientras utilizamos firewalls de red. Una conclusión muy interesante es el hecho de que elEl rendimiento del firewall basado en software fue igual al rendimiento de los de hardware..

Los firewalls virtuales y de hardware resultaron ser resistentes a los ataques de denegación de servicio. Como muestra la documentación, tienen mecanismos integrados para la protección DoS. Nos convencimos de que esos mecanismos son eficaces.De hecho, el nivel de seguridad del firewall del software es igual al nivel de seguridad del sistema operativo anfitrión.

Answer

Encontré un trabajo de investigación de la universidad de Polonia que hace unaAnálisis entre firewalls de hardware y software..

Agregaré la conclusión de este artículo y resaltaré las partes más relevantes en negrita.

Se ha observado que el rendimiento de los firewalls depende en gran medida del tamaño del paquete transmitido a través de la red. El rendimiento más alto, muy cercano a la capacidad de conexión directa, se observó para paquetes de longitud igual o superior a 1 kB, para paquetes de longitudes más pequeñas el rendimiento fue considerablemente menor. Podemos concluir que el tamaño óptimo de paquete es 1 kB, mientras utilizamos firewalls de red. Una conclusión muy interesante es el hecho de que elEl rendimiento del firewall basado en software fue igual al rendimiento de los de hardware..

Los firewalls virtuales y de hardware resultaron ser resistentes a los ataques de denegación de servicio. Como muestra la documentación, tienen mecanismos integrados para la protección DoS. Nos convencimos de que esos mecanismos son eficaces.De hecho, el nivel de seguridad del firewall del software es igual al nivel de seguridad del sistema operativo anfitrión.

iptables versus firewall de hardware

Respuesta1

Respuesta2

Respuesta3

Respuesta4

información relacionada