我正在寻找有关专用服务器防火墙的建议,该服务器将托管几个平均流量的网站(每月 5000 个独立用户)。托管公司拥有端口和全硬件防火墙。还可以选择安装软件防火墙。这里提到的“端口”保护的保护级别是多少:http://www.xlhost.com/firewall.php?这样够了吗?有什么推荐吗(Windows Server OS)?
答案1
看起来 FireBox 上的端口可以提供不错的保护。您想要应用程序级保护吗?FireBox 可能无法辨别同一 TCP/IP 端口上的不同应用程序流量。这意味着,如果您有软件防火墙,您可以对其进行更精细的配置,以仅允许某个可执行文件访问端口 80(例如),而对于防火墙上的端口,您只能调整端口 80 以允许或拒绝流量,而无需考虑哪个可执行文件正在启动或响应服务器上的流量。
正如 ErikA 指出的那样,Windows Server 的内置防火墙似乎足够了(只要它是 Server 2008 或更高版本)。一些值得注意的替代方案是:
由于我不知道您的具体需求,因此您必须进行一些调查,将这些产品与 Windows 内部防火墙进行比较,看看究竟哪些好处对您来说才是重要的。
答案2
好吧,如果这是 Windows Server 2008,它实际上有一个相当强大的软件防火墙。
答案3
不幸的是,正确使用防火墙就像正确使用加密一样——很多人认为他们可以做对,事实上,很多专家认为他们可以做到。但做到并不那么容易。
如果 FD 邮件列表有任何指导意义,那么 Firebox 很容易受到Syn-Fin 模糊性. 这段代码片段就是最好的证明。
if(tcp->syn && !(tcp->ack || tcp->rst))
tcpsyn=1;
如果不是立即显而易见的话,只要您使用同步位设置完成,这样的一段处理代码就允许您通过防火墙传递数据包,从而有效地击败端口过滤。
简而言之,如果您担心安全问题,我会坚持使用久经考验的 ASA/PIX。除此之外,BlackIce 防火墙也做得很好,当然还有 pf/iptables。
答案4
假设它实际上是一个专用服务器,而不是 VPS,你可以在机器上安装一个基本的 Linux 发行版(debian-netinst 等),运行岸墙然后在 Xen、KVM 或 VirtualBox 无头实例下运行 Windows 机器。