LINUX.ORG.RU

История изменений

Исправление firkax, (текущая версия) :

Тоже код, да. Ты hw-файрволлом назовёшь только фильтр на жёсткой логике? Я даже не знаю бывают ли такие.

на том же компе, где и софт, который он должен изолировать

В том и дело что не на том же. Сам себя он не изолирует, он изолирует другие железки.

Да, если вдруг злоумышленник получит рута в твоём софте

И рута там нет, как и системы локальных аккаунтов и доступов вообще. Единственный способ там что-то получить - это найти RCE в коде сетевого стека. Ну, если найдёт - да, получит сразу всё. Но у меня имеется мнение что RCE там нет. Да, без внешнего аудита.

hw роутером/файрволом называют железку, где аппаратно (hw) разгружается либо nat, либо правила фильтрации, либо и то и другое одновременно

Ну, это не единственное значение данного термина, хотя наверно и правда существующее. Ты имеешь ввиду hw в контексте производительности, а я писал про изоляцию и безопасность. Если введёшь «hardware firewall» в поисковую систему и походишь по предложенным ссылкам - то, подозреваю, в подавляющем большинстве случаев там речь будет именно про аппаратную изоляцию файрволла от приложения, а не про аппаратные ускорители его работы. Вторые, если и будут упомянуты, то бонусом к первому (в специализированную железку их проще засунуть чем в бытовой комп).

Исходная версия firkax, :

Тоже код, да. Ты hw-файрволлом назовёшь только фильтр на жёсткой логике? Я даже не знаю бывают ли такие.

на том же компе, где и софт, который он должен изолировать

В том и дело что не на том же. Сам себя он не изолирует, он изолирует другие железки.

Да, если вдруг злоумышленник получит рута в твоём софте

И рута там нет, как и системы локальных аккаунтов и доступов вообще. Единственный способ там что-то получить - это найти RCE в коде сетевого стека. Ну, если найдёт - да, получит сразу всё. Но у меня имеется мнение что RCE там нет. Да, без внешнего аудита.

hw роутером/файрволом называют железку, где аппаратно (hw) разгружается либо nat, либо правила фильтрации, либо и то и другое одновременно

Ну, это не единственное значение данного термина, хотя наверно и правда существующее. Ты имеешь ввиду hw в контексте производительности, а я писал про изоляцию и безопасность. Если введёшь «hardware firewall» в поисковую систему и походишь по предложенным ссылкам - то, подозреваю, в подавляющем большинстве случаев там речь будет именно про аппаратную изоляцию файрволла от приложения, а не про аппаратные ускорители его работы. Вторые, если и будут упомянуты, то бонусом к первому.