Vedo i motivi principali per cui un firewall su un server web è defense in depth e un'ammortizzazione extra per un possibile errore di amministratore nell'esecuzione di un daemon non necessario. Sto cercando di vedere se sto trascurando qualcosa. Sto pensando che in una situazione in cui hai una piccola infrastruttura (alcuni server) che controlli non è possibile implementare un firewall.
Come hai intuito, la sicurezza riguarda i livelli. I sistemi vengono attaccati e vengono violati in una miriade di modi. Con la stratificazione delle nostre soluzioni di sicurezza, impediamo ai nostri sistemi di essere soggetti a un singolo punto di errore di sicurezza. A volte le persone mettono i dispositivi firewall fuori dalla scatola e qualche volta li mettono anche su on-box. A volte lo fanno entrambi per il solo motivo per cui affermi: per proteggersi dagli errori di configurazione: una condizione umana molto reale, ben definita e sfruttabile.
Tuttavia, leggendo la tua domanda, sembra quasi che tu non abbia l'infrastruttura per supportare un firewall off-box. Quindi, se si tratta di NON avere un firewall e avere un firewall, anche se sul server web, allora metti il firewall sul tuo server. Il firewall impedisce più di semplici connessioni ad altri servizi. Può prevenire alcuni tipi di attacchi di flooding, può impedire l'ingresso nel sistema di pacchetti dispari e malevoli, può proteggere dai punti deboli del sistema operativo, può proteggere dalla mappatura della rete e può proteggere dai dati che vengono esfiltrati dal sistema.
Oltre all'eccellente risposta di logicalscope, vale la pena ricordare che nei casi più , un firewall implementato nel sistema operativo presenta una latenza significativamente inferiore rispetto a quella di un dispositivo separato. I firewall OTOH e OS variano nella quantità del sistema che espongono prima che venga applicato il filtro.
in a situation where you have a small infrastructure (a few servers) that you control it's not feasible to deploy a firewall.
Non è una buona ragione per non avere un firewall separato. Anche il più semplice dei router attualmente disponibili fornisce alcune funzionalità del firewall. E dal momento che avrai bisogno di una sorta di routing (ad esempio, hai comunque un sovraccarico di latenza) è decisamente sconsiderato non applicare i filtri di ingresso e di uscita.
Non è solo il rischio di un problema di amministrazione, avere un firewall su un dispositivo separato riduce il rischio di attacco:
Tuttavia, gli attacchi principali che vedrai non saranno comunque indirizzati al firewall, ma saranno diretti al server web, quindi un normale firewall lascerà passare quel traffico sulla porta 80 o 443, quindi in un piccolo, ambiente a costi limitati se è possibile aggiungere almeno un filtro o un elenco di controllo di accesso sul router e quindi avere un firewall in esecuzione sul server, almeno si stanno riducendo i rischi in modo economico.