Sì e ci sono diversi motivi per farlo.
I firewall come gli altri dispositivi informatici hanno occasionalmente difetti di sicurezza che devono essere riparati. Se dovessi pensare a due firewall o coppie di firewall (uno dietro l'altro) come due livelli di difesa se il primo livello avesse un problema e fosse possibile aggirarlo, il secondo firewall sarebbe in grado di impedire agli estranei di accedere alla tua rete .
Allo stesso modo, diversi tipi di firewall possono elaborare diversi tipi di attacchi a velocità diverse. I dispositivi di tipo solo hardware tendono ad elaborare i pacchetti a un ritmo molto più veloce dei firewall software, ma non elaborano o bloccano i pacchetti tanto profondamente mentre altri tipi di firewall possono bloccare un numero molto più grande di tipi di attacchi perché eseguono l'ispezione per ulteriori elementi o coprire più delle comunicazioni che vengono filtrate. Se un cliente dovesse distribuire entrambi, vorrebbe che il firewall hardware che si trova su Internet blocchi il maggior numero di attacchi e quindi il firewall del software dietro di esso blocchi gli attacchi a un livello più profondo.
Fai un ulteriore passo avanti e disponiamo di dispositivi Firewall specializzati come i firewall per applicazioni Web (WAF) che eseguono solo il filtraggio su http e https. Questi sono quasi sempre utilizzati in combinazione con i firewall più tradizionali di fronte a loro.
Analogamente in un ambiente cloud non è raro utilizzare frontalmente un firewall primario ed eseguire software firewall su ciascuno dei computer in un cosiddetto modello Zero-Trust di firewalling che è anche efficacemente a due livelli (o più) .
Nota: il firewall Zero-Trust non deve avere un firewall separato in testa, si tratta semplicemente di uno schema di distribuzione comune che vedo soprattutto negli ambienti AWS.
Infine per dissipare detta "regola": puoi usare due firewall software come IPTables e mod_security (essenzialmente un WAF) su un computer o persino avere IPTable che inoltra il traffico in ingresso a un secondo firewall software per ulteriori ispezioni per cose come Prevenzione della perdita di dati (DLP) o per malware avanzato o filtraggio di applicazioni. L'utilizzo del secondo firewall software come WAF è in realtà molto comune per le persone che eseguono software WAF.
Detto questo, avere due firewall software non è comune nel computing tradizionale, ma è un modo molto legittimo per aggiungere buoni controlli di sicurezza a un sistema e fintanto che si aggiungono controlli di sicurezza esclusivi in ogni livello e non si ripercuotono negativamente sulle applicazioni dire che è molto saggio farlo.
Riguardo all'avere un firewall hardware dietro il router. Questo è molto simile al modo in cui tutte le aziende hanno il proprio firewall dietro il loro router e dispongono di access-list sul router. Tutte le aziende hanno bisogno di proteggere quel router esterno così efficacemente quasi tutte le aziende hanno effettivamente due livelli di firewall anche se uno è più attivo rispetto all'altro. Lo faccio da solo perché l'ISP ha accesso al router di rete a casa mia e non mi fido dell'ISP per proteggerlo. Questo è molto comune negli affari e semi-comune per i router domestici tra le persone che conoscono la sicurezza.
Non si ottiene Defence Depth da un singolo livello, quindi avere un secondo livello è sempre saggio e penso che sarebbe saggio mettere in discussione questa "regola" che si parla di un firewall.
BTW: Una volta ho visto una banca che utilizzava tre diverse coppie di firewall in fila per la sua applicazione bancaria con Internet.
Link utili per il confronto:
link
link
link