Esta respuesta toma ideas de Comentario de Steffen . La respuesta es depende , con una pizca de personas de Internet aleatorias que no saben lo suficiente sobre su organización para dar una respuesta adecuada . Pero podemos darte algunos puntos sobre los que pensar.
Como dijo Steffen: "Los cortafuegos se usan para separar cosas", generalmente para proteger a un grupo de usuarios y / o dispositivos de mayor seguridad de un grupo de seguridad inferior.
En un diagrama como ese, tienes servidores, computadoras de escritorio, computadoras portátiles y dispositivos móviles. La suposición habitual es que los servidores y los escritorios son:
- donde viven los datos confidenciales,
- ejecutando todas las herramientas de protección, antivirus y monitoreo de puntos finales corporativos,
- solo conectó una red limpia de paquetes inspeccionada con otros dispositivos de confianza similar.
Cuando dibuja computadoras portátiles y otros móviles en un diagrama como este, se supone que estos dispositivos pueden o no:
- estará ejecutando las herramientas adecuadas de protección de punto final, antivirus y supervisión (casi siempre en el caso de los teléfonos),
- conéctese a redes de wifi de cafeterías u hoteles al azar (o incluso a las redes domésticas de los empleados) durante las cuales A) entra en contacto con máquinas infectadas y B) puede navegar a sitios web infectados sin las herramientas corporativas de inspección y monitoreo de paquetes allí para protegerte,
- conectar memorias USB infectadas,
- sea fácil de monitorear / remover de forma remota para evitar que los datos se filtren del edificio,
- etc.
TL; DR: Debe tener en cuenta cuáles son los modelos de seguridad y amenazas de su organización. Si decide que los teléfonos y las computadoras portátiles realmente tienen exactamente las mismas necesidades de seguridad y el mismo nivel de riesgo que los servidores y las computadoras de escritorio, entonces no necesita un firewall allí. Sin embargo, en el 99% de las organizaciones, los dispositivos que tienen permiso para abandonar el edificio se consideran en mayor riesgo de infección, por lo que tiene sentido tener ese firewall y permitir solo a través de los hosts y puertos que los usuarios de computadoras portátiles realmente necesitan acceder. .
La idea es asumir que las computadoras portátiles y los teléfonos están infectados y reducir la cantidad de sondeo de red que pueden hacer en su red interna.