L'architettura a due interfacce (ovvero a due livelli del firewall) è interamente dedicata alla difesa in profondità per la tua rete interna. Lo scenario sporco e pulito fa sì che il traffico attraversi 2 diversi set di firewall. I firewall rivolti su Internet proteggono la DMZ dalle minacce esterne, mentre i firewall interni proteggono la rete interna da sistemi DMZ potenzialmente compromessi.
Il pensiero alla base di due gruppi di firewall è che se i firewall che affrontano Internet vengono compromessi, o se qualcuno accidentalmente apre troppi accessi, il set interno di firewall proteggerà ancora la rete principale. Molto spesso i 2 set di firewall saranno di produttori diversi in modo che nessun singolo exploit possa compromettere entrambe le serie di firewall. Con un set di firewall stai mettendo tutte le uova in un cestino.
Non è necessario disporre di interfacce, ma ci sono dei vantaggi:
- Misurazioni: tenere separato il traffico sporco e pulito significa poter misurare la quantità dei due tipi di traffico
- Semplicità della rete: è più facile mantenere l'instradamento diretto con due interfacce.
- Riduci al minimo il mix di traffico sporco e pulito: l'obiettivo è ridurre il traffico che transita direttamente tra i firewall interni ed esterni. L'obiettivo è forzare il traffico tutto attraverso un dispositivo per il transito tra i livelli. Idealmente, nessun traffico viaggerà direttamente tra i firewall interni ed esterni. Ad esempio, il traffico Web passerà attraverso un proxy. Attraverso di essa, più dispositivi devono attraversare il traffico e maggiori possibilità di bloccare il traffico dannoso
Il rovescio della medaglia è la maggiore complessità e il sovraccarico di gestione. Inoltre, raramente fa la differenza per la sicurezza IT di un'azienda, quindi spesso sembra che sia molto lavoro senza alcun beneficio.
Tuttavia, fa spesso la differenza, in genere vale la pena farlo. Rende anche gli auditor felici; avresti bisogno di molte giustificazioni per dimostrare che avere un singolo livello è sufficiente per la tua organizzazione, soprattutto perché qualcuno ha pensato che la tua organizzazione avesse bisogno di due set di firewall per cominciare.