Windows Server 的防火墙选择

如果不知道您的网络是如何设计和实施的，那么提出有针对性的建议会有些困难。话虽如此，微软堆栈在 Forefront Security Suite 中拥有一款相当成熟的软件防火墙产品（以及一些新添加的客户端 AV 解决方案）。

此链接包含有关全套 Forefront 产品的详细信息 -http://technet.microsoft.com/en-us/forefront/default.aspx

当然，还有很多其他的选择，我并不是说这是最好的选择（考虑到我对您的网络了解甚少，这很难做到），但防火墙组件基于 MS ISA Server，该产品已经存在了大约十年并且非常强大。

如果您只是试图保护主机操作系统，而不是为您的网络运行边缘防火墙服务，则 Windows Server 2008 附带的默认防火墙默认启用，而且我发现，它通常非常适合标准主机保护。它缺少完整 TMG 套件的一些功能，但它通常足够好，我不会用第三方产品替换它。事实上，如果您最终使用 Forefront TMG 系统，它将与内置的 Windows 防火墙/ICS 服务配合使用，执行基本的数据包过滤/状态数据包检查任务。

大多数主要防病毒供应商的安全套件都包含防火墙功能。我在家里运行 AVG Suite，除了恶意软件和防病毒软件外，它还包括一个实时 SPI 防火墙。CA、Kapersky、McAfee 和 Symantec 都有类似的产品，但如果购买用于服务器版操作系统，它们的价格往往会很昂贵。

我不同意“Windows 防火墙已经完善”的说法。

我不会争辩说它确实有所改善，但仍存在许多长期存在的问题。

[在微软的辩护中，许多一般性问题（如过滤出站流量）和一些真正令人发指的漏洞（如 LanMAN 攻击）已经在一定程度上得到缓解]

像SYN-FIN 歧义在某些方面仍然存在，这取决于几个因素。TTL 操纵（更流行的是 Firewalking）从未停止工作。而且随着全新的ICMPv6 路由器通告错误同时还发现，防火墙容易受到 ICMP 标头中类似坏数据的远程代码执行攻击。

简而言之，就我所知，我相信微软的防火墙能够提供严密的端点安全保障。

认真考虑并获得 ASA 或 Sonicwall 可能很困难，但我认为，当它阻止聪明的攻击者时，您会很高兴自己这样做。

如果您坚持要在服务器上安装防火墙，卡巴斯基和赛门铁克都提供了不错的端点解决方案。如果您仍然觉得必须使用 Windows 防火墙，请务必尽可能多地禁用 Stateful 功能（尽管这可能违反直觉），因为大多数 RCE 漏洞都会不可避免地出现在那里。