Di regola, No.

I firewall non sono come le barricate che un attaccante deve "sconfiggere" per procedere. Si aggira un firewall trovando un percorso che non sia bloccato. Non è tanto una questione di quanti ostacoli metti, ma piuttosto di quanti percorsi permetti. Di norma, tutto ciò che puoi fare con due firewall (nello stesso punto) puoi farlo con uno.

Ora, se stai mettendo i firewall in posti diversi per motivi diversi, questa è un'altra storia. Non possiamo condividere tutti insieme un unico firewall.

Ci sono sia vantaggi che svantaggi avere due firewall. Sebbene i firewall non siano comunemente sfruttati, sono soggetti ad attacchi denial of service.

In una topologia con un unico firewall che serve sia utenti interni che esterni (LAN e WAN), agisce come risorsa condivisa per questi due zone. A causa della potenza di calcolo limitata, un attacco Denial of Service al firewall dalla WAN può interrompere i servizi sulla LAN.

In una topologia con due firewall, si proteggono i servizi interni sulla LAN dagli attacchi denial of service al firewall perimetrale.

Ovviamente, avere due firewall aumenterà anche la complessità amministrativa: è necessario mantenere due diversi criteri firewall + backup e patch.

Alcuni amministratori preferiscono filtrare solo il traffico in ingresso - questo semplifica la politica del firewall. L'altra pratica è mantenere due set di regole separati con filtri sia in uscita che in entrata. Se hai bisogno di un'apertura da LAN a WAN, dovrai implementare la regola su entrambi i firewall. La logica alla base di questo è che un singolo errore non esporrà l'intera rete, ma solo le parti che il firewall sta servendo direttamente. Lo stesso errore deve essere fatto due volte.

Lo svantaggio principale è il costo e la manutenzione, ma a mio parere i vantaggi superano questi.

Due firewall sono meglio di uno? Ci sono due prospettive in questo dal punto di vista degli hacker, non importa in quanto cercano porte aperte per lo sfruttamento. Dal punto di vista di un amministratore di rete, il firewall crea un unico punto di errore. L'utilizzo di più firewall può fornire ridondanza se un firewall del dispositivo attivo non riesce, il traffico del servizio viene trasferito al firewall di backup. A seconda del tipo di firewall implementato, è necessario eseguire la sincronizzazione tra due firewall prima della commutazione del collegamento. Inoltre è possibile implementare più firewall in.

1. Modalità standby attivo (con firewall di backup installato)
2. Bilanciamento del carico (entrambi i firewall in modalità attiva)

Fonte: White paper Stateful failover Techniques

Esiste potenzialmente uno scenario in cui il software firewall ha un bug che gli fa consentire il traffico attraverso il quale non dovrebbe. In tal caso, potrebbe esserci un vantaggio nell'avere un secondo firewall dietro il primo che esegue software diverso, supponendo che il software diverso non soffra dello stesso bug.

Ma quanto sono comuni i bug del firewall? La mia sensazione è che non siano abbastanza comuni da giustificare l'ulteriore complessità di questa configurazione, il che aumenta il rischio di errori di configurazione e fa perdere tempo che potrebbe essere speso meglio per proteggere i servizi dietro il firewall.

Le caratteristiche e le capacità differiscono molto tra i firewall, quindi non puoi semplicemente chiedere se due firewall sarebbero migliori di uno solo. Immagino che tu abbia un budget limitato, quindi potrebbe essere meglio ottenere un firewall singolo, ma più capace per gli stessi soldi, rispetto a due firewall più economici, che anche combinati hanno meno capacità rispetto all'appliance più costosa.

Ma, se hai abbastanza soldi, potrebbe essere una buona idea combinare dispositivi capaci di diversi fornitori, in modo che ottengano un sistema più sicuro. Naturalmente, non solo costerà più soldi per acquistare questi firewall, ma anche per mantenerli. Ognuno di loro avrà un'interfaccia diversa, capacità leggermente diverse o almeno modi diversi per ottenere la stessa cosa. Quindi devi trovare amministratori che conoscano bene tutti questi diversi modelli, forse devi trovare un modo per combinare i diversi log e avvisi dai diversi firewall ecc.

Quindi sì, sarà più sicuro, ma solo se hai i soldi per acquistare dispositivi e amministratori capaci. Se hai un budget limitato, ti suggerirei di ottenere meglio il miglior dispositivo singolo e amministratore che puoi ottenere per i tuoi soldi.

Sono d'accordo con la risposta di tylerl sopra. Tuttavia, leggendo i commenti sotto quella risposta, c'è una contesa dove non dovrebbe esserci ... il che è causato dalla confusione che spero di chiarire. E poi spiega perché penso che due firewall non siano migliori di uno per la domanda posta.

Punto di contesa: un firewall può essere sfruttato? Un gruppo dice di no, mentre altri dicono di sì.

Ecco la domanda importante da porre: puoi amministrare il firewall sulla rete?

Per amor di discussione , Ho configurato una Linux box come firewall per gestire il traffico tra Internet e la mia rete domestica (cablata + wi-fi). Lo configuro anche in modo tale che la macchina firewall NON sia sulla rete, quindi l'unico modo per apportare modifiche alle regole del firewall è accedere fisicamente alla macchina.

In questa configurazione di amministrazione non in rete è impossibile sfruttare il mio firewall da Internet o dalla mia rete domestica. Per sfruttarlo dovresti prima entrare in casa mia e accedere fisicamente alla macchina.

Come sottolineato da diverse persone, l'aspetto del firewall è semplicemente una barriera che decide quale traffico deve entrare: non c'è niente di sfruttabile su quella parte.

Ma se ho riconfigurato la mia configurazione in modo che la macchina firewall sia anch'essa connessa alla stessa rete domestica e resa accessibile tramite SSH, allora correrò un rischio. Qualsiasi utente malintenzionato che accede alla mia rete domestica (attraverso qualsiasi porta aperta dal firewall) potrebbe quindi utilizzare qualche exploit SSH per entrare nella macchina firewall.

Diciamo che il nostro primo firewall ne ha vulnerabilità e una persona malintenzionata è in grado di sfruttarla.

Ciò significa che il tuo primo firewall box era connesso a una rete accessibile a un malintenzionato e c'era qualche servizio accessibile come SSH da sfruttare.

Se c'è un secondo firewall dopo di esso, dovrebbe essere in grado di fermare l'attacco, giusto?

Dipende: anche il secondo firewall box è connesso a una rete accessibile all'attaccante? Se è così, allora sicuramente potrebbe essere sfruttato anche da un attaccante esperto.

In realtà non mi aspetterei che amministratori esperti commettessero errori del genere.

Più firewall sono decisamente migliori di uno. Io ne uso tre. Dietro il primo c'è la DMZ con "honey pot" che monitora il traffico, ha il proxy e-mail, il proxy del browser e i server Internet; tutto SE Linux. Le informazioni su Honey Pot aiutano a creare la lista nera per il secondo firewall. Dietro il secondo firewall ci sono i server Intranet, le stampanti e i computer a bassa sicurezza (Windows). Dietro il terzo firewall, che ha una White List, ci sono computer e server di livello manager. Tra il monitoraggio, tre diversi firewall, una Black List e una White List si crea una rete molto sicura. La chiave è l'Honey Pot che ti consente di sapere chi sta cercando di attaccarti in modo da poter modificare la lista nera e le regole per proteggere i tuoi dati Intranet. L'email pubblica avviene tramite un proxy Linux che è connesso in remoto. Gli allegati devono essere scaricati in remoto, quindi possono essere recuperati dopo la scansione, se necessario. In oltre 4 anni, non ho avuto un virus oltre la DMZ, a meno che non sia ancora sconosciuto. Finora, i virus sono stati tutti rilevati sui server proxy non appena scaricati. La navigazione avviene anche tramite una macchina proxy, nulla viene scaricato direttamente da Internet dietro il 2 ° o 3 ° firewall. Le porte vengono riassegnate sopra 1024, quindi il 2 ° e il 3 ° router sono quasi buchi neri. Le informazioni sui nuovi clienti vengono trasferite quotidianamente su server più sicuri. Tutte le macchine di gestione sono Linux. Inizialmente, l'impostazione e la lista nera richiedono molto tempo, una volta che i grandi autori di reato (Microsoft, Google e NSA) sono bloccati, le cose sono facili da mantenere.