ソフトウェアファイアウォールとハードウェアファイアウォール

まず、すべてのファイアウォールはソフトウェアファイアウォールです。ソフトウェアで評価済みのフィンガープリントに一致するパケットをASICまたはリアルタイムシステムにオフロードする「ファストパス」テクノロジーを備えているものもありますが、ファイアウォールの決定はソフトウェアスタックによって行われます。ほとんどのファイアウォールはLinuxまたはBSDのバリアントで実行され、独自のカーネルモジュールは低レベルのファイアウォールタスクを実装し、カーネルモジュールは上位レベルで検査する必要があると見なすパケットを処理するユーザーランドコードを持っていますが、一部は主にCisco独自のものです。オペレーティング・システム。どちらの場合でも、ファイアウォールアーキテクチャは「ハードウェア」でも「ブラックマジック」でもありません。

私はあなたが誤った差別化をしていると思います、そしてあなたが実際に比較すべきことは「エンドポイントファイアウォール」対「ゲートウェイファイアウォール」です。それにもかかわらず、これはハードウェアとソフトウェアではなく、実際の違いであることに注意することが重要です。

次に、境界だけでなく内部でもセグメンテーションを行うことがベストプラクティス（nist 800-41）であり、かなりの規模の組織におけるコンプライアンス要件です。場合によっては（特に、セキュリティゾーンからセキュリティゾーンに移動するラップトップ、さらにはセキュリティがまったくない場所に移動するラップトップ）、ゲートウェイファイアウォールでこの要件を満たすことは非常に困難です。このような状況では、エンドポイントファイアウォールが役立ちます。

エンドポイントファイアウォールに関する私の個人的な経験と好みは、絶対に必要な場合（ラップトップなど）を除いて、セキュリティ要件を満たすためにそれらを使用することではありません。私はむしろそれらを追加のボーナスとして見ています。私が一元的に管理することは非常に困難であり、すべてのシステム所有者が準拠していることを確認するためには、ネットワークレベルの制御が必要です。システム管理者がそれに加えてiptablesを管理したい場合、私はそれらを賞賛しますが、それに頼ることはできません。