iptables vs. firewall de hardware

Question 1

Além de (possíveis) problemas de desempenho, uma coisa a ter em mente é que se o seu firewall não estiver no mesmo servidor que ele está protegendo, se de alguma forma alguémfazobter acesso ao servidor da web, eles ainda não conseguirão mexer no firewall, o que significa que não poderão alterar suas regras de saída, etc.

Um firewall separado também pode ser configurado para não terqualquermaneira de acessá-lo através da rede, o que novamente aumenta suas defesas contra adulterações.

Tenha em mente que isso também se aplica a um firewall de software que é uma caixa separada, não precisa ser de hardware.

Answer

Além de (possíveis) problemas de desempenho, uma coisa a ter em mente é que se o seu firewall não estiver no mesmo servidor que ele está protegendo, se de alguma forma alguémfazobter acesso ao servidor da web, eles ainda não conseguirão mexer no firewall, o que significa que não poderão alterar suas regras de saída, etc.

Um firewall separado também pode ser configurado para não terqualquermaneira de acessá-lo através da rede, o que novamente aumenta suas defesas contra adulterações.

Tenha em mente que isso também se aplica a um firewall de software que é uma caixa separada, não precisa ser de hardware.

Question 2

Eu usaria um firewall de hardware se você estivesse tentando proteger um segmento da rede como um todo, e um firewall de software se estivesse tentando proteger um aplicativo específico. O hardware protege seu espaço contra intrusos fora do ambiente geral e o software protege uma função específica até mesmo de outras partes do ambiente.

Dito isto, neste caso você está protegendo uma única caixa, então eu escolheria apenas o software. O impacto no desempenho não deve ser tão ruim até o momento em que você considerar mais de um servidor Web; nesse caso, você desejará examinar a rota do hardware.

E sim, como observado em outro lugar, os firewalls de hardware tendem a ser mais confiáveis. Também é mais difícil configurá-los e mantê-los em ordem se você precisar modificá-los com frequência. As observações relativas ao aumento da segurança resultante da ocorrência de tráfego suspeito num dispositivo separado do servidor Web são bem formuladas, mas a minha opinião é que o aumento global da segurança não se justifica pelo custo adicional ao nível de um único servidor (com algumas exceções notáveis). Um firewall de software maduro, configurado de forma simples e em um servidor com manutenção regular que não possui nenhum outro serviço em execução além daqueles necessários para sua funcionalidade web, deve ser estável e seguro atualmente. Ou pelo menos será até você começar a receber explorações de buffer overflow no tráfego HTTP que o firewall não capturará de qualquer maneira.

Answer

Eu usaria um firewall de hardware se você estivesse tentando proteger um segmento da rede como um todo, e um firewall de software se estivesse tentando proteger um aplicativo específico. O hardware protege seu espaço contra intrusos fora do ambiente geral e o software protege uma função específica até mesmo de outras partes do ambiente.

Dito isto, neste caso você está protegendo uma única caixa, então eu escolheria apenas o software. O impacto no desempenho não deve ser tão ruim até o momento em que você considerar mais de um servidor Web; nesse caso, você desejará examinar a rota do hardware.

E sim, como observado em outro lugar, os firewalls de hardware tendem a ser mais confiáveis. Também é mais difícil configurá-los e mantê-los em ordem se você precisar modificá-los com frequência. As observações relativas ao aumento da segurança resultante da ocorrência de tráfego suspeito num dispositivo separado do servidor Web são bem formuladas, mas a minha opinião é que o aumento global da segurança não se justifica pelo custo adicional ao nível de um único servidor (com algumas exceções notáveis). Um firewall de software maduro, configurado de forma simples e em um servidor com manutenção regular que não possui nenhum outro serviço em execução além daqueles necessários para sua funcionalidade web, deve ser estável e seguro atualmente. Ou pelo menos será até você começar a receber explorações de buffer overflow no tráfego HTTP que o firewall não capturará de qualquer maneira.

Question 3

A menos que haja um relé clicando, é sempre um firewall de software. Você só espera que o software seja obscuro o suficiente para que ninguém saiba como hackeá-lo.

Eu tenho e tive muitos firewalls Linux baseados em IPTables, Cisco PIXs e caixas de consumo prontas para uso. De todos eles, os firewalls do Linux são os que têm menos problemas com a necessidade de reinicialização. A maioria excedeu mais de 2 anos de tempo de atividade de consentimento. Costumo deixar as baterias descarregadas no no-break antes que o sistema precise ser reinicializado.

05:35:34 até 401 dias, 4:08, 1 usuário, média de carga: 0,02, 0,05, 0,02 Troquei o UPS há 401 dias.

Dos 30 firewalls Cisco PIX, 3 morreram após 2 anos e 5 tiveram que ser reinicializados a cada 2 meses ou mais.

A grande vantagem dos firewalls de "hardware" geralmente é o tamanho compacto e, esperançosamente, a ausência de peças móveis.

Answer

A menos que haja um relé clicando, é sempre um firewall de software. Você só espera que o software seja obscuro o suficiente para que ninguém saiba como hackeá-lo.

Eu tenho e tive muitos firewalls Linux baseados em IPTables, Cisco PIXs e caixas de consumo prontas para uso. De todos eles, os firewalls do Linux são os que têm menos problemas com a necessidade de reinicialização. A maioria excedeu mais de 2 anos de tempo de atividade de consentimento. Costumo deixar as baterias descarregadas no no-break antes que o sistema precise ser reinicializado.

05:35:34 até 401 dias, 4:08, 1 usuário, média de carga: 0,02, 0,05, 0,02 Troquei o UPS há 401 dias.

Dos 30 firewalls Cisco PIX, 3 morreram após 2 anos e 5 tiveram que ser reinicializados a cada 2 meses ou mais.

A grande vantagem dos firewalls de "hardware" geralmente é o tamanho compacto e, esperançosamente, a ausência de peças móveis.

Question 4

Encontrei um trabalho de investigação da universidade da Polónia que faz umaanálise entre firewalls de hardware e software.

Acrescentarei a conclusão deste artigo e destacarei as partes mais relevantes em negrito.

Foi observado que o rendimento dos firewalls depende fortemente do tamanho do pacote transmitido pela rede. O maior throughput, muito próximo da capacidade de conexão direta, foi observado para pacotes de comprimento igual e superior a 1 kB, para pacotes menores o throughput foi consideravelmente menor. Podemos concluir que o tamanho ideal do pacote é 1 kB, ao usar firewalls de rede. Uma conclusão muito interessante é o facto de oo desempenho do firewall baseado em software foi igual ao desempenho dos firewalls de hardware.

Hardware e firewalls virtuais revelaram-se resistentes a ataques de negação de serviço. Como mostra a documentação, eles possuem mecanismos integrados para proteção DoS. Ficamos convencidos de que esses mecanismos são eficazes.O nível de segurança do firewall de software é, na verdade, igual ao nível de segurança do sistema operacional host.

Answer

Encontrei um trabalho de investigação da universidade da Polónia que faz umaanálise entre firewalls de hardware e software.

Acrescentarei a conclusão deste artigo e destacarei as partes mais relevantes em negrito.

Foi observado que o rendimento dos firewalls depende fortemente do tamanho do pacote transmitido pela rede. O maior throughput, muito próximo da capacidade de conexão direta, foi observado para pacotes de comprimento igual e superior a 1 kB, para pacotes menores o throughput foi consideravelmente menor. Podemos concluir que o tamanho ideal do pacote é 1 kB, ao usar firewalls de rede. Uma conclusão muito interessante é o facto de oo desempenho do firewall baseado em software foi igual ao desempenho dos firewalls de hardware.

Hardware e firewalls virtuais revelaram-se resistentes a ataques de negação de serviço. Como mostra a documentação, eles possuem mecanismos integrados para proteção DoS. Ficamos convencidos de que esses mecanismos são eficazes.O nível de segurança do firewall de software é, na verdade, igual ao nível de segurança do sistema operacional host.

iptables vs. firewall de hardware

Responder1

Responder2

Responder3

Responder4

informação relacionada