¿Puede usar dos firewalls de hardware? [duplicar]

Sí, y hay varias razones para hacerlo.

Los firewalls, como otros dispositivos informáticos, ocasionalmente tienen fallas de seguridad que deben ser parcheadas. Si tuviera que pensar en dos cortafuegos o pares de cortafuegos (uno detrás del otro) como dos capas de defensa, si la primera capa tenía un problema y se podía pasar por alto, el segundo cortafuegos podría evitar que personas externas accedan a su red .

Del mismo modo, diferentes tipos de cortafuegos pueden procesar diferentes tipos de ataques a diferentes velocidades. Los dispositivos de estilo de hardware tienden a procesar paquetes a una velocidad mucho más rápida que los firewalls de software, pero no procesan ni bloquean paquetes tan profundamente, mientras que otros tipos de firewalls pueden bloquear un número mucho mayor de ataques porque no inspeccionan más. Elementos o cubrir más de las comunicaciones que se están filtrando. Si un cliente implementara ambos, querría que el cortafuegos de hardware con conexión a Internet bloquee la mayor cantidad de ataques y luego tenga el firewall de software detrás de él para bloquear los ataques en una capa más profunda.

Lleve esto un paso más allá y tenemos dispositivos de firewall especializados, como los firewalls de aplicación web (WAF), que solo filtran en http y https. Estos casi siempre se usan junto con los firewalls más tradicionales que se encuentran frente a ellos.

Del mismo modo, en un entorno de nube no es infrecuente utilizar un cortafuegos primario en la parte frontal y también ejecutar un software de cortafuegos en cada una de las computadoras en lo que se conoce como un modelo de cortafuegos Zero-Trust que también es efectivamente dos capas (o más) .

Nota: el firewall de Zero-Trust no tiene que tener un firewall separado, esto es simplemente un patrón de implementación común que veo especialmente en los entornos de AWS.

Finalmente, para disipar dicha "regla": puede usar dos firewalls de software como IPTables y mod_security (esencialmente un WAF) en una computadora o incluso puede hacer que IPTables reenvíe el tráfico entrante a un segundo firewall de software para una inspección adicional para cosas como la Prevención de pérdida de datos (DLP) o para el filtrado avanzado de aplicaciones o malware. El uso del segundo firewall de software como WAF es en realidad muy común para las personas que ejecutan el software WAF.

Dice que tener dos firewalls de software no es común en la computación tradicional, pero es una forma muy legítima de agregar buenos controles de seguridad a un sistema y siempre que esté agregando controles de seguridad únicos en cada capa y no afecte negativamente a sus aplicaciones, lo haría. Digamos que es muy sabio hacerlo.

Con respecto a tener un firewall de hardware detrás del enrutador. Esto es muy similar a cómo todas las empresas tienen su propio firewall detrás de su enrutador y tienen listas de acceso en el enrutador. Todas las compañías necesitan asegurar que el enrutador externo sea tan efectivo que casi todas las compañías efectivamente tienen dos capas de cortafuegos, incluso si una se usa más activamente que la otra. Lo hago yo mismo porque el ISP tiene acceso al enrutador de la red en mi casa y no confío en que el ISP lo asegure. Esto es muy común en los negocios y semi-común para los enrutadores domésticos entre las personas que conocen la seguridad.

No obtienes Defensa en Profundidad de una sola capa, por lo que tener una segunda capa siempre es sensato y creo que sería prudente cuestionar esta "regla" que mencionas sobre un firewall.

Por cierto: una vez vi un banco que usaba tres pares diferentes de cortafuegos seguidos para su aplicación de banca orientada a Internet.

Enlaces útiles para comparación:

enlace

enlace

enlace

Sí, puede usar más de un dispositivo de firewall, y eso no es raro en absoluto. Por ejemplo, puede haber un firewall externo en la conexión de una organización a Internet y un firewall interno que protege una subred particularmente sensible, por ejemplo la R & D o la subred financiera.

Puede, y generalmente debería, ejecutar un software de firewall incluso en una red protegida por un dispositivo de firewall.

  

Hay una regla que dice "no usar más de un firewall" (los firewalls de software para ser exactos).

No tengo conocimiento de ninguna regla de este tipo. De hecho, hay modelos de seguridad que se propagan explícitamente para poner primero un firewall de filtro de paquetes, que una puerta de enlace de nivel de aplicación y luego otro filtro de paquetes de un proveedor diferente. La combinación de firewalls de diferentes proveedores puede aumentar la seguridad si estos tienen una fuerza diferente.

  

el primero es un firewall de software y el segundo es un firewall de hardware,

No existe tal cosa como un firewall de hardware. Desde el contexto de su pregunta parece más bien que está hablando de dispositivos de firewall dedicados ("firewalls de hardware") en lugar de software en su propio sistema. Pero tales dispositivos dedicados aún tienen el firewall implementado en el software, incluso si a veces se aceleran con un hardware definido por software como FPGA.

Para llegar a la posible fuente de sus reclamaciones (que faltan a cualquier tipo de fuente): si tiene varios firewall y software antivirus en la misma computadora, pueden interactuar mal entre sí porque no están diseñados para funcionar junto con otros. cortafuegos o antivirus. Pero esto no significa que la combinación de firewalls o antivirus sea generalmente mala, solo es el problema si intentas ejecutarlos en la misma computadora al mismo tiempo.

Su regla de oro se basa en la incompatibilidad de forma predeterminada de colocar uno o más filtros modificadores de tráfico en la misma pila de red que cualquier otro filtro, a menos que la pila imponga un ordenamiento consistente (similar a una cebolla) de módulos de filtro.

Un ejemplo común era confiar en implementaciones separadas para realizar NAT y encapsulación de túnel VPN .

• Si realiza NAT antes de desencapsular en paquetes entrantes , debe realizar la misma política de NAT después de encapsular en paquetes salientes y su política de NAT se aplica a su red externa.

• La desencapsulación antes de NAT en los paquetes entrantes también está bien y puede ser lo que necesite si necesita NAT para volver a asignar su red interna a las diferencias con la red interna del sitio remoto.

• La aplicación de políticas en el mismo orden, tanto en el tráfico entrante como en el saliente, requerirá una política imposible ; se aplica a sus direcciones internas en una dirección y direcciones externas en la otra.

Por lo general, para mezclar y combinar módulos dentro de un nodo se requiere un sistema diseñado monolíticamente o uno que tenga una API clara con garantías de pedido y algunas obligaciones para no optimizar un módulo reduciendo la separación de tareas entrantes y salientes en paquetes reenviados.

En los casos en los que no es posible la garantía, uno usa varias puertas de enlace en las que cada una aplica sus reglas de manera consistente, de modo que cada red intermedia tenga un diseño autoconsistente. La combinación de puertas de enlace y redes proporciona exactamente el mismo diseño en forma de cebolla entre los filtros, de modo que cada uno es consistente con dos vistas momentáneas de su tráfico.

Algunos diseños de firewalls de hardware están integrados en una interfaz de red o se basan en la virtualización para presentar interfaces normales al sistema operativo de destino. Estos firewalls podrían coexistir con un firewall del sistema operativo sin problemas. En otros casos, el hardware puede acelerar operaciones costosas para un firewall que inyecta ganchos en todo el sistema operativo. Es poco probable que los firewalls que se basan en dichos ganchos coexistan limpiamente con cualquier otro firewall que haga lo mismo a menos que los ganchos formen parte de una API cuidadosamente diseñada.