В настоящее время я использую ISA 2004 и скоро буду запускать окно Untangle. Я всегда чувствовал себя немного безопаснее, помещая эти более продвинутые программные брандмауэры за тупым аппаратным брандмауэром (например, потребительские маршрутизаторы среднего класса). Так что в основном я выполняю переадресацию портов по мере необходимости от аппаратного межсетевого экрана к программному межсетевому экрану, который, конечно, имеет более сложную конфигурацию.
Насколько я понимаю, это, по крайней мере, немного защищает меня от случайного открытия чего-либо на программном брандмауэре и, возможно, от сбоев в программном брандмауэре. Однако на самом деле это помогает мне только блокированием портов на краю (ну, это немного лучше, но не намного). Кроме того, это усложняет настройку и затрудняет независимое тестирование каждой системы.
Стоит ли отказаться от дешевого маршрутизатора / брандмауэра?
С точки зрения безопасности вы должны взвесить риски для вашей среды. Объединение устройств в цепочку потенциально более безопасно (при условии, что это разные технологии), но, как вы ускользнули, создает (гораздо) больше накладных расходов на обслуживание.
Лично я не думаю, что преимущества безопасности перевешивают затраты на обслуживание, если вы не являетесь большой целью и / или не видите большого объема трафика. Опять же, это зависит от того, что вы защищаете и как долго вы можете позволить себе простаивать, если что-то случится и вам придется восстанавливать. Это только вы можете рассчитать.
На какую нагрузку вы смотрите с точки зрения производительности? Одна из самых больших проблем, которые я видел при объединении устройств в ваш брандмауэр, - это узкие места в аппаратной обработке, когда одно меньшее устройство подавляет все, потому что оно не может обрабатывать вещи достаточно быстро.
Самая большая причина - наличие нескольких защитных барьеров. Уязвимости одной системы обычно не присутствуют в другой, поэтому злоумышленник должен иметь дело с еще одной переменной. Однако он начинает двигаться на юг в спешке и имеет лишь незначительную выгоду, если учесть такие вещи, как DoS-атаки на крайнее периферийное устройство. Когда это произойдет, вы облажались, пока не разрешите эту атаку.
Лично, и это только мое мнение, я не вижу в этом особой логики. Если вы можете ошибиться в одном брандмауэре, вы можете ошибиться в двух. Если один изворотлив, двое могут быть изворотливыми. Почему тогда не три, четыре или пять?
Я бы предпочел внедрить единый брандмауэр корпоративного класса, который имеет надежную и проверенную репутацию и имеет независимую, опытную и непредвзятую сторону, которая проверяет его конфигурацию и работу за меня и выполняет для меня тестирование на вторжение.
Это похоже на старую пословицу: «Если одна таблетка мне подходит, то две должны быть лучше, не так ли?
В своих сетях я использую многоуровневый подход. Обычно это сводится к внешнему межсетевому экрану, и по мере приближения к различным машинам появляется больше уровней, включая межсетевой экран на основе хоста на большинстве из них.
Итак, хотя я бы сказал, что наличие более одного параметра полезно, я не верю, что наличие более одного уровня для каждого из этих параметров было бы более безопасным.
Более вероятно, что вы откроете неправильные порты в связанной конфигурации. обычно, когда возникает проблема с брандмауэром, администраторы начинают открывать порты до тех пор, пока они не заработают, а затем выясняют, что закрыть. При наличии нескольких брандмауэров с несколькими операциями настройки будет легко что-то упустить.
Дешево не обязательно означает противно. Например, RouterStation Pro работает OpenWRT, а Shorewall - очень эффективный межсетевой экран ... за 79 долларов США, не считая корпуса и инжектора питания. Ключевым моментом является то, что у него есть операционная система корпоративного уровня, а также достаточно памяти и процессора, чтобы не создавать узких мест в вашей сети. Использование одного из них имеет смысл, в то время как устройство потребительского уровня с прошивкой по умолчанию - нет.