Estaba leyendo esto:
En el contexto de la configuración de un servidor (no público), lo esencial es que tenga firewalls PF y firewalls de aplicaciones. Los firewalls de aplicaciones son más seguros ya que ven más paquetes, etc., pero en consecuencia son más lentos.
Si un firewall de aplicaciones es más seguro, ¿cuál es el punto de tener también un firewall PF?
Respuesta1
Los cortafuegos de filtrado de paquetes y los cortafuegos de aplicaciones son herramientas diferentes, no son opciones ni una u otra, ni una de ellas puede reemplazar completamente a la otra.
Los cortafuegos de filtrado de paquetes son más rápidos, por lo que permiten un mayor rendimiento que los cortafuegos a nivel de aplicación. Y por más rápido quiero decirimportantementemás rápido. Dado que los firewalls PF tienen que lidiar con IP y puertos, operan con un conjunto mucho más pequeño de variables, lo que les permite decidir rápidamente si la conexión está permitida o no.
Pero como los cortafuegos PF no pueden detectar abusos de protocolo, tiene sentido proteger la aplicación con un cortafuegos con más "conocimiento", que puede detectar todo tipo de anomalías, pero a un ritmo mucho más lento. En este punto, sin embargo, la velocidad más lenta no debería ser un problema, ya que todo el ruido se filtra cuando llega al firewall de la aplicación.
Otro problema que le impide utilizar un firewall a nivel de aplicación en lugar de un filtro de paquetes (además de la velocidad) es que probablemente ningún firewall de capa 7 tenga conocimiento detodoprotocolos. Claro, es fácil encontrar un firewall de aplicaciones para http, pero puede que no sea tan fácil encontrar un firewall que admita la terminación SSL de un servidor MQ.