R: [ml] domanda su architettura di rete (DMZ)

In breve la tendenza di molte soluzioni ad esempio si veda anche Solaris 10 è verso architetture firewalless (ovvero senza firewall), quindi non è proprio una stupidaggine quella di configurare i firewall sui singoli host anzi aumenta di molto la security.
Uno dei problemi di architetture senza firewall è che diviene difficile dividere la zona di front-end da quella di back-end o in generale di dividere in zone a diversa protezione una DMZ.
Ovviamente questo si puo' fare ma richiede molto piu' tempo per una corretta configurazione e un'attenta checklist delle porte e dei servizi.
A mio modesto parere:
Architettura firewall perimetrali
PRO:
1. Gestione Centralizzata del firewall
2. Facilità di separazione in diverse zone
3. Possibilità di utilizzare firewall diversi per le diverse zone

CONTRO:
1. Minore capillarità delle regole
2. Maggior rischio per i server perimetrali


Architettura firewaless:

PRO:

1. Estrema capillarità delle regole
2. Maggior dettaglio delle ACL

CONTRO:

1. Difficoltà di gestione per un numero elevato di server
2. Costo aggiuntivo di un management distribuito per i firewall
3. Mantenere allineate con il versioning e le patch tutti gli host.


Per lo SPOF del firewall basta mettere in cluster il server,
ad esempio LVM + hearbeat + mon e risolvi.
Sono interessato all'opinione degli altri membri delle liste sulle due diverse filosofie di firewalling.
Secondo me è necessario implementare entrambe, avere sia i firewall perimetrali che nel caso di maggior sicurezza abilitare il firewall locale sulle macchine.
A presto

Fausto