制御するWebサーバーにファイアウォールを実装する価値はありますか?
Webサーバーのファイアウォールの主な理由はdefense in depthであり、不要なデーモンを実行することで発生する可能性のある管理エラーのための追加のクッションです。私は何かを見落としているかどうかを確認しようとしています。あなたが制御している小さなインフラストラクチャ(いくつかのサーバー)がある状況では、ファイアウォールを配備することは現実的ではないと考えています。
お気づきのように、セキュリティはレイヤーに関するものです。システムは攻撃され、無数の方法で侵害されます。セキュリティソリューションを階層化することにより、システムが単一点のセキュリティ障害にさらされるのを防ぎます。ファイアウォールデバイスをオフボックスにしたり、オンボックスにしたりすることもあります。時には、あなたが述べた理由だけで両方を行うことがあります:設定エラーから保護するため-非常に現実的で、明確に定義された、悪用可能な人間の状態。
ただし、質問を読むと、ファイアウォールのオフボックスをサポートするインフラストラクチャがないように思われます。したがって、ファイアウォールがないこととファイアウォールがあること(Webサーバー上ではあるが)が原因である場合は、ファイアウォールをサーバーに配置します。ファイアウォールは、他のサービスへの接続以上のものを防ぎます。特定の種類のフラッディング攻撃を防ぐことができ、奇妙で悪意のあるパケットがシステムに侵入するのを防ぎ、オペレーティングシステムの脆弱性を防ぎ、ネットワークのマッピングを防ぎ、システムからのデータの流出を防ぐことができます。
Logicalscopeの優れた回答に加えて、mostの場合、OSに実装されたファイアウォールがもたらす遅延は、別のデバイスのファイアウォールよりも大幅に少ないことを覚えておく価値があります。 OTOH、OSファイアウォールは、フィルタリングが適用される前に、公開するシステムの量が異なります。
制御している小さなインフラストラクチャ(いくつかのサーバー)がある状況では、ファイアウォールを展開することは現実的ではありません。
notが別のファイアウォールを持っているのはそれが理由ではありません。現在利用可能な最も基本的なルーターでさえ、いくつかのファイアウォール機能を備えています。また、なんらかのルーティングが必要になるため(とにかくレイテンシのオーバーヘッドが発生するため)、イングレスフィルタリングとエグレスフィルタリングの両方を適用するのは実に無謀ですnot。
これは管理上の問題のリスクだけでなく、別のデバイスにファイアウォールを設けることで、攻撃のリスクを軽減できます。
- ファイアウォールとして実行されるだけのデバイスは、多数のサービスが実行されるWebサーバーよりもはるかに小さな攻撃対象となります。
- ファイアウォールデバイスは、ほとんどの場合、他のものも実行しているサーバーに実装されているものよりもかなり低いレイテンシになります
ただし、これから目にする主な攻撃はファイアウォールを標的とするのではなく、Webサーバーを標的とするため、通常のファイアウォールはポート80または443のトラフィックを通過させるだけなので、コストが制限されます。ルーターにフィルタリングまたはアクセス制御リストを少なくとも追加でき、サーバーでファイアウォールを実行できる環境であれば、少なくとも費用対効果の高い方法でリスクを軽減できます。