In primo luogo, tutti i firewall sono firewall software. Alcuni dispongono di tecnologie "fastpath" che scaricano i pacchetti corrispondenti alle impronte digitali che sono già state valutate nel software su ASIC o sistemi in tempo reale, ma le decisioni relative al firewall vengono prese dallo stack del software. La maggior parte dei firewall funziona su una variante di Linux o BSD, con i propri moduli kernel che implementano attività firewall di basso livello e pacchetti di gestione del codice userland che il modulo kernel ritiene debbano essere controllati a un livello superiore, ma alcuni, principalmente Cisco, hanno i propri sistema operativo. In entrambi i casi, l'architettura del firewall non è "hardware" o "magia nera".

Penso che tu stia facendo una falsa differenziazione e ciò che dovresti effettivamente confrontare è "firewall endpoint" rispetto a "firewall gateway ". Nonostante la pedanteria, è importante notare che questa è la vera distinzione piuttosto che l'hardware rispetto al software.

Secondo, è una best practice (nist 800-41) e un requisito di conformità in qualsiasi organizzazione di grandi dimensioni, avere una segmentazione non solo perimetrale, ma anche interna. In alcuni casi (in particolare, laptop, che si spostano da una zona di sicurezza all'altra ... e persino in luoghi dove non c'è alcuna sicurezza), è estremamente difficile soddisfare questo requisito con i firewall del gateway. In tali situazioni, i firewall per endpoint sono utili.

La mia esperienza personale e la preferenza per quanto riguarda i firewall per endpoint non è di usarli per soddisfare i requisiti di sicurezza, tranne quando assolutamente necessario (come i laptop). Li vedo piuttosto come un ulteriore vantaggio. Dato che è estremamente difficile per me gestire centralmente e per garantire che tutti i proprietari di sistema siano conformi, devo avere il controllo a livello di rete. Se un amministratore di sistema vuole gestire iptables in aggiunta a ciò, lo raccomando, ma non posso fare affidamento su quello.

Ci sono state discussioni nel recente passato per disabilitare i firewall del PC, poiché alcuni hanno causato problemi, specialmente se il PC era in posizione fissa. In questi giorni, con una preponderanza di laptop e Windows 7, consiglierei vivamente di utilizzare il software firewall integrato in Windows se questo è tutto ciò che hai, o per i laptop mobili, un firewall che impone VPN rigorose, nega lo split tunneling e vieta l'accesso a la rete centrale fino a quando i prerequisiti di sicurezza non sono stati soddisfatti.

Se è disponibile, dovresti usarlo. Se un particolare firewall impedisce a un'applicazione di funzionare, beh, allora devi prenderti il ​​tempo necessario per riconfigurare il firewall e / o l'applicazione in modo appropriato.

La risposta breve è sì, ogni PC dovrebbe avere il firewall abilitato.

La risposta lunga è che dipende dall'ambiente. Qual è il costo della gestione del firewall di ogni PC? È più del costo associato a un attacco perché i firewall sono stati disabilitati?

Come si calcola il costo di un attacco? Che tipo di dati ci sono su quelle macchine? Cose mission critical? Business-critical? Roba militare / governativa? L'ultima ricetta dei biscotti della nonna?