我目前有一台受硬件防火墙保护的共置服务器,但是这个防火墙太旧了,我想更换它。我想知道 Windows 2003 的内置防火墙软件是否足以完成这项任务。最后,我真的只想阻止除 SSL、HTTP、FTP 和 RDC 之外的所有端口。这是一个大错误/麻烦吗?我应该换一个硬件防火墙吗?
答案1
如果可能的话,你应该始终将防火墙与应用程序级服务分开。原因包括:
- 它更安全。如前所述,如果防火墙和应用程序位于同一位置,防火墙被破坏也意味着您的应用程序服务器被破坏,您的数据更容易被访问。
- 配置和故障排除更加容易。当服务分离时,应用程序或防火墙上的配置问题通常更容易识别。
- 它可能更快。一台服务器不必单独提供防火墙代理/过滤和应用程序处理。这将根据您应用程序的使用情况统计数据和处理要求带来不同程度的好处。
- 您可以对组织职责进行分离,这样当需要更改服务器时,安全团队就不必担心与应用程序开发团队的协调。如果服务分离,那么安全团队可以担心防火墙,应用程序团队可以担心应用服务器。
- 哦,是的,在 AD 域控制器上运行防火墙只是个坏兆头。不知道这是否是你的情况(可能/希望不是)。
答案2
我认为你应该使用另一个硬件防火墙,因为如果你在主机上使用防火墙,万一有人闯入,他将控制操作系统和防火墙。在我看来,防火墙应该是一个单独的过程,这可以为你提供更多的安全性和灵活性。
答案3
Windows Server 2003 自带的防火墙没问题,但我建议在服务器前面也安装一个 Windows 之外的防火墙。主要原因是可配置性。使用更高级的防火墙可以做很多 Windows 做不到的事情。正如其他人也提到的,这让攻击者更加难以控制,因为他们现在有两个系统可以控制,而不是一个。
拥有外部防火墙的缺点是它提供了另一个单点故障。有些防火墙应用程序将以群集方式运行,因此您可以在故障转移模式下拥有多个防火墙应用程序,但现在我们谈论的是附加设备。如果您到目前为止一直使用一台防火墙,那么以后再使用一台防火墙也没什么问题。找一台便宜/旧的 PC,安装 Linux 或 OpenBSD 系统,并将其用作防火墙。您实际上并不需要专用的“设备”,除非管理层要求供应商提供支持合同。
答案4
我认为 Windows 防火墙对于普通用户或家庭用户来说是可以的,因为它可以对那些不感兴趣的黑客起到威慑作用,并且可以合理地阻止机器人和脚本小子。
对于一台全天候运行的面向公众的机器,当您并不总是亲自在机器旁查看(并立即响应)机器上发生的事情时,我希望能够更加严肃一些。