Administrace komentářů

Nevím, jaký je rozdíl mezi těmi variantami v otázce, ale firewall přímo na počítači se službami má význam hlavně v případě, kdy tam nějaká služba má běžet, ale nemá být dostupná všem a není možné to nastavit přímo v tom daném programu. Ochrana před útoky typu DoS už tam moc smysl nedává, protože problém je už když vám ten útok zahltí vnitřní síť. To pásmo, kdy firewall na počítači se službou ještě dokáže zahazovat provoz, který by už aplikaci položil, ale provoz ještě není natolik silný, aby položil i síťovou vrstvu jádra nebo okolní infrastrukturu, je velice úzké. No a proti útokům na samotnou síťovou vrstvu jádra je takový firewall zcela neúčinný, protože je stejná pravděpodobnost, že bude chyba v kódu před firewallem nebo v samotném firewallu (a firewall je tedy na nic nebo dokonce situaci zhorší), jako že bude až za firewallem.

Takže má smysl mít firewall před servery nebo DMZ, má smysl mít firewall před sítí, kde mohou být neaktualizované počítače se spoustou děr v softwaru (typická síť s Windows), ale na samotné pracovní stanici uživatele, kde žádné síťové služby neběží, je firewall skoro zbytečný. Ne že by za nějaké velmi výjimečné konstelace událostí nemohl pomoci, ale třeba pravidelná aktualizace jádra pomůže v takovém případě nesrovnatelně víc. A to už vůbec nemluvím o tzv. personálních firewallech často používaných ve Windows, to už je úplně na nic. Za prvé uživatel, který tomu nerozumí, stejně vždy povolení odklikne, za druhé tam je firewall na stejné pozici, jako kterýkoli vir, takže jde jenom o to, kdo koho přechytračí, firewall tam nemá žádné technické možnosti, které by vir neměl. (To platí v Linuxu taky v případě, kdy by onen vir byl modulem v jádru, což je přeci jen už dost extrémní případ, protože běžný uživatel jen tak snadno modul do jádra nenaistaluje.)