¿Por qué el firewall debe estar fuera del servidor, exceptuando estos dos elementos?
- Elimine el impacto del ruido en el rendimiento del servidor.
-
Agregue una capa física entre dispositivos para que puedan estar en subredes separadas, luego use ACL para evitar la falsificación de IP. De esta manera, la dirección IP puede usarse de manera confiable para verificar de qué red interna provienen los paquetes. (los datos de una red interna se descartarían si la dirección IP no coincidiera, los datos de la red se bloquearían si la dirección IP coincidiera con una de las redes internas). Esto probablemente podría lograrse utilizando los puertos Ethernet alternativos en la red. servidores, pero el dispositivo separado parece más fácil de administrar.
En realidad, tiendo a pensar que las verificaciones de IP de origen podrían reemplazarse con claves privadas y protocolos de encriptación, pero entiendo que esto puede ser poco práctico.
Aparte de eso, me parece que el firewall del software debería manejar todo, incluido el bloqueo de protocolos, la supresión de "conexión rechazada", etc.
Eso deja a estos
- La falta de un buen software de solución de firewall (por ejemplo, mi PC con Windows probablemente nunca debería conectarse directamente a Internet.
- Agregar una segunda capa, en caso de que el firewall del software esté mal configurado.
- "compensar" las deficiencias en el software a bordo, por ejemplo, un firewall podría actualizarse automáticamente con las últimas reglas de inspección, pero si el software es seguro para comenzar, este debería no ser un problema.
Por favor, ilumíneme si me falta algo sobre el propósito correcto de un dispositivo separado. Encuentro que creo que los primeros dos artículos son el único propósito legítimo. El resto solo está compensando las deficiencias del servidor.