是否真的有必要在 Windows 2008 Web 服务器上设置硬件防火墙

是否真的有必要在 Windows 2008 Web 服务器上设置硬件防火墙

如果我不设置硬件防火墙,最糟糕的情况会是什么?我打算只安装软件防火墙。我计划部署一个中等流量的网站,数据库上的信息很重要。但是,我可以用非常好的密码保护数据库。

答案1

最糟糕的情况可能是,您成为 Windows、IIS 或数据库零日漏洞的受害者,如果您创建了额外的安全层,那么这种情况本可以被预防。

密码无法保护您免遭缓冲区溢出攻击。

如果它很重要,那么尽可能合理地确保它的安全。

答案2

嗯,这就像晚上把银行大门敞开,然后等着有人进来试图打开保险箱、现金抽屉、保险箱,然后希望你没有忘记保护某些东西。安全从网络的边缘开始。

答案3

让 Windows 服务器完全安全基本上是不可能的。你绝对应该有一个硬件防火墙。它并不贵;我刚刚查看了 Newegg.com,发现你可以花不到 300 美元买到一个 Netgear FVS336G 防火墙。(我确实推荐 Netgear;我被 Linksys 等其他品牌搞得焦头烂额,但还没有被 Netgear 搞得焦头烂额。)

Windows 的基本问题是 Microsoft 添加了大量的功能。每个功能都是一个可能的攻击点。即使您从未使用过这些功能,Windows 中也有这些功能,如果其中任何一个功能存在漏洞,一些黑帽黑客就可以破解您的服务器。如果有人破解了您的服务器并复制了您的所有数据,您就会后悔花 300 美元购买防火墙。(如果黑客破坏或破坏了您的服务器,您需要重建它,那就更糟了……)

防火墙是一种小型、精简的设备。它没有 .NET 运行时,没有电子邮件服务器,也没有 Windows 拥有的一大堆东西。因此,确保防火墙安全要容易得多。您可以将防火墙设置为仅允许企业实际使用的端口上的流量,并关闭所有其他端口。

使用软件防火墙时,如果有人能在 Windows 网络代码本身中找到漏洞,您的计算机仍然会被破解。使用硬件防火墙时,攻击者首先必须找到漏洞(在更难攻克的目标中),然后攻破该漏洞,但您的软件防火墙仍有可能阻止其攻击。分层防御。

如果您确实不想花 300 美元购买防火墙,那么有一个选择:找一台旧电脑,在其中安装两张网卡,取出硬盘,然后从 Devil-Linux CD 启动。

http://devil-linux.org/

答案4

您需要更好地了解运行(任何)Web 服务器相关的风险。有操作系统相关的风险和 Web 服务器风险。至于应用程序风险,那是另一个话题了。

虽然我知道人们普遍认为 Windows 不安全,但我的观点是,每个操作系统都可以变得安全/不安全,这取决于你应用补丁和更新的技能和勤勉程度。

为了保护 Windows Web 服务器的安全,您可以依靠内置的 Windows 防火墙软件来锁定开放端口。另一个选择是利用 IPSec阻止除端口 80/443 之外从互联网到服务器的任何通信。

对于 Web 服务器风险,您会发现 Apache 和 IIS 都存在各自的漏洞。关键是保持补丁和更新为最新。

相关内容