ハードウェアファイアウォールと ソフトウェアファイアウォール（IPテーブル、RHEL）

私のホスティング会社は、IPTablesは役に立たず、保護を提供しないと言います。これは嘘ですか？

TL; DR
2つの同じ場所にサーバーがあります。昨日、私のDC会社から連絡があり、ソフトウェアファイアウォールを使用しているため、サーバーは「複数の重大なセキュリティ脅威に対して脆弱」であり、現在のソリューションは「あらゆる形態の攻撃からの保護なし」を提供します。

彼らは、サーバーを保護するために、専用のCiscoファイアウォール（インストールごとに 1000ドル、次に月あたり 200ドル）が必要だと言っています。ハードウェアファイアウォールはより安全ですが、RedHatのIPTablesのようなものは平均的なサーバーに十分な保護を提供するという印象を受けました。

両方のサーバーは単なるWebサーバーであり、特に重要なことは何もありませんが、IPTablesを使用してSSHを静的IPアドレスのみにロックダウンし、基本ポート（HTTP（S）、FTP、および他のいくつかの標準サービスを除くすべてをブロックしました） ）。

ファイアウォールを取得するつもりはありません。サーバーのいずれかがハッキングされた場合は不便になりますが、実行するのはWordPressとJoomlaのサイトだけなので、お金に見合う価値はないと思います。

ハードウェアファイアウォールもソフトウェアを実行しています。唯一の本当の違いは、デバイスが専用であり、タスク専用であることです。サーバー上のソフトウェアファイアウォールは、適切に構成されていれば、ハードウェアファイアウォールと同じくらい安全です（ハードウェアファイアウォールは通常、そのレベルに到達するのが「容易」で、ソフトウェアファイアウォールは「簡単に」破壊されることに注意してください）。

古いソフトウェアを実行している場合、おそらく既知の脆弱性があります。サーバーはこの攻撃ベクトルの影響を受ける可能性がありますが、保護されていないことを示すことは、炎症、誤解を招く、または太字の嘘です（正確に言ったことと意味に依存します）。悪用の可能性に関係なく、ソフトウェアを更新し、既知の脆弱性にパッチを適用する必要があります。

IPTablesが無効であると述べることは、せいぜい誤解を招くだけです。繰り返しになりますが、1つのルールがすべてからすべてへのすべてを許可する場合、それはまったく何もしません。

サイドノート：私の個人サーバーはすべてFreeBSDを搭載しており、IPFW（ビルトインソフトウェアファイアウォール）のみを使用しています。このセットアップで問題が発生したことはありません。また、セキュリティの発表に従いますが、このファイアウォールソフトウェアに関する問題は見たことがありません。
職場では、セキュリティが階層化されています。エッジファイアウォールは、明らかながらくたをすべて除去します（ハードウェアファイアウォール）。内部ファイアウォールは、個々のサーバーまたはネットワーク上の場所（主にソフトウェアファイアウォールとハードウェアファイアウォールの組み合わせ）のトラフィックをフィルタリングします。
あらゆる種類の複雑なネットワークには、レイヤーのセキュリティが最も適切です。あなたのような単純なサーバーでは、別個のハードウェアファイアウォールを使用することでいくらかの利点があるかもしれませんが、ほとんどありません。

保護されたサーバー自体でファイアウォールを実行することは、別のファイアウォールマシンを使用するよりも安全性が低くなります。「ハードウェア」ファイアウォールである必要はありません。IPTablesを備えたルーターとして設定された別のLinuxサーバーは正常に動作します。

保護されたサーバー上のファイアウォールのセキュリティ問題は、実行中のサービスを介してマシンが攻撃される可能性があることです。攻撃者がルートレベルのアクセスを取得できる場合、ファイアウォールはカーネルルートキットを介して変更、無効化、またはバイパスできます。

別のファイアウォールマシンでは、SSHアクセス以外のサービスは実行しないでください。また、SSHアクセスは管理IP範囲に制限する必要があります。もちろん、IPTables実装またはTCPスタックのバグがない限り、攻撃に対して比較的脆弱ではないはずです。

ファイアウォールマシンは、存在してはならないネットワークトラフィックをブロックおよびログに記録することができ、クラックされたシステムの貴重な早期警告を提供します。

トラフィックが少ない場合は、5505などの小さなCisco ASAユニットを試してください。500ドルから700ドルの範囲で、間違いなく専用です。co-loは、あなたにBSを提供しますが、ファイアウォールのレートも不合理です。

パフォーマンスにも依存すると思います。ソフトウェア/サーバーベースのファイアウォールがCPUサイクルを使用して行うこと、ハードウェアファイアウォールは専用チップ（ASIC）で実行できるため、パフォーマンスとスループットが向上します。

それはですので、あなたの視点から（マシン自体に）「ソフトウェア」と「ハードウェア」のファイアウォールの間に実質的な違いは、最初のケースでは、トラフィックが保護したいマシンにすでにあるということである潜在的に何かが見落とさされている場合、またはより脆弱設定が間違っています。

ハードウェアファイアウォールは、基本的にプレフィルターとして機能し、特定のトラフィックのみがサーバーに到達したり、サーバーから出たりできるようにします。

ユースケースを考慮し、当然のことながら適切なバックアップがあると仮定すると、追加費用を正当化するのは非常に困難です。個人的に私はあなたが持っているものを続けますが、おそらく別のホスティング会社を使用しています。

このゲームの後半に。はい、サービスプロバイダーは彼らが何について話しているのか分かりません。IPTABLESの有能な管理者であれば、すぐに使えるハードウェアファイアウォールよりも安全だと思います。その理由は、それらを使用したときに、素晴らしいgee-whizインターフェースが、トラフィックの通過を許可する実際の構成を反映していないからです。ベンダーは私たちのためにそれを馬鹿にしようとしています。すべてのパケットが出入りする可能性について知りたい。

IPTABLESは万人向けではありませんが、セキュリティを真剣に考えている場合は、できる限り近くにいる必要があります。システムの保護は簡単です-ブラックボックスファイアウォールのリバースエンジニアリングは容易ではありません。