R: [ml] domanda su architettura di rete (DMZ)

>Architettura firewall perimetrali
>PRO:
>1. Gestione Centralizzata del firewall
>2. Facilità di separazione in diverse zone 3. Possibilità di utilizzare firewall diversi per le diverse zone
>CONTRO:
>1. Minore capillarità delle regole
>2. Maggior rischio per i server perimetrali

Un lato positivo non da poco è che un firewall serve a suddividere i server ed il flusso di dati in maniera logica, ancor prima di fare da controllo perimetrale, in una struttura con un numero consistente di macchine io tenderei ad escludere un'architetture firewalless per una questione prettamente organizzativa.
Oltre tutto non ci dimentichiamo che un firewall "pulisce" connessioni facendo in modo che solo i dati necessari arrivino allo stack del server destinazione, togliendo i vari fuori stato etc. etc.
Quindi già questo mi fa pensare che se ho una macchina con un alto numero di connessioni ed alto carico computazionale, preferisco che ci sia una sorta di "catalizzatore" a monte che non faccia arrivare dati inutili.


>Architettura firewaless:
>
>PRO:
>
>1. Estrema capillarità delle regole
>2. Maggior dettaglio delle ACL

3. non introduce potenziali delay computazionali propri dei firewall

>
>CONTRO:
>
>1. Difficoltà di gestione per un numero elevato di server 2. Costo aggiuntivo di un management distribuito per i firewall 3. Mantenere 
>allineate con il versioning e le patch tutti gli host.

Sono perfettamente d'accordo ha un onere gestionale molto alto, oltre al fatto che, come sopra non esiste una "gerarchia" di server, cosa che può dare problemi a livello logico nell'implementazione dei flussi di dati.

In poche parole, a prescindere dalla componente tecnica, a mio avviso sono valide entrambe.
L'unica variabile che può far preponderare una scelta su di un'altra è l'onere gestionale.


Federico