Veo que las razones principales para que un firewall en un servidor web sea defense in depth y una protección adicional para un posible error de administración al ejecutar un demonio innecesario. Estoy tratando de ver si estoy pasando por alto algo. Estoy pensando que en una situación en la que tienes una pequeña infraestructura (unos pocos servidores) que controlas no es posible implementar un firewall.
Como ha implicado, la seguridad se trata de capas. Los sistemas son atacados y se rompen de muchas maneras. Al combinar nuestras soluciones de seguridad, evitamos que nuestros sistemas estén sujetos a un solo punto de falla de seguridad. A veces las personas ponen los dispositivos de firewall fuera de la caja y otras veces también los ponen en la caja. Algunas veces hacen ambas cosas solo por la razón que usted establece: para protegerse contra los errores de configuración, una condición humana muy real, bien definida y explotable.
Sin embargo, al leer su pregunta, casi parece que no tiene la infraestructura para admitir un firewall fuera de la caja. Por lo tanto, si se trata de NO tener un firewall y tener un firewall, aunque en su servidor web, coloque el firewall en su servidor. El firewall evita más que solo conexiones a otros servicios. Puede evitar ciertos tipos de ataques de inundación, puede evitar que paquetes extraños y malintencionados ingresen al sistema, puede proteger contra las debilidades del sistema operativo, puede proteger contra la asignación de su red y puede proteger contra la información que se está filtrando desde su sistema. p>
Además de la excelente respuesta de logicalscope, vale la pena tener en cuenta que en la mayoría , un firewall implementado en el sistema operativo introduce una latencia significativamente menor que la de un dispositivo separado. OTOH, los firewalls de SO varían en la cantidad de sistema que exponen antes de aplicar el filtrado.
en una situación en la que tienes una pequeña infraestructura (unos pocos servidores) que controlas, no es posible implementar un firewall.
Esa no es una buena razón para que no tenga un firewall separado. Incluso los enrutadores más básicos disponibles en la actualidad proporcionan alguna funcionalidad de firewall. Y dado que va a necesitar algún tipo de enrutamiento (es decir, tiene una sobrecarga de latencia de todos modos) es bastante imprudente no para aplicar el filtrado de ingreso y egreso.
No es solo el riesgo de un problema de administración, tener un firewall en un dispositivo separado reduce el riesgo de ataque:
Sin embargo, los ataques principales que se van a ver no apuntarán al firewall de todos modos, sino que se dirigirán al servidor web, por lo que un firewall normal simplemente permitirá que el tráfico en el puerto 80 o 443 atraviese, así que Un entorno con restricciones de costos. Si puede al menos agregar un filtro o una lista de control de acceso en su enrutador y luego tener un firewall ejecutándose en su servidor, al menos estará reduciendo sus riesgos de manera rentable.