是否有任何令人信服的理由使用硬件防火墙保护专用服务器(我的情况是 Windows 2008 R2)?硬件防火墙比内置软件防火墙能更好地解决哪些安全问题?
谢谢,
阿德里安
编辑:澄清一下:我指的是运行由微型 ISV 运营的 SaaS 网站的服务器,该网站由客户定期使用。我不是指价值数百万美元的企业。
第二次编辑::就我而言,服务器负载不是问题。服务器的 CPU 使用率从未超过 20%,内存负载也从未超过 50%。集中管理也不是问题 - 只有一个 Windows 服务器。
答案1
如果你只有一台服务器,那么我认为依赖内置软件防火墙是可以的如果你知道自己在做什么。
但是,当您拥有 2、3、4 ... 10 台服务器时,管理起来就会变得相当复杂,最好使用可以在一个地方管理的硬件防火墙。
(不过,您仍然需要软件和硬件防火墙来实现整个“纵深防御”理论,因此无论如何您都无法避免在每台服务器上运行软件防火墙。根据我的经验,Windows Server 2008 及更高版本具有出色的软件防火墙,我们在 Stack Overflow 上专门使用它们已有 2 年了。)
答案2
显然,“专业级”并不是一个具有明确属性的官方术语,但如果我们假设它通常意味着最佳配置,那么根据我的经验,硬件防火墙是首选。虽然硬件和软件防火墙理论上可以执行相同的功能,但硬件防火墙允许您将该工作转移到专用设备上。“专业级”防火墙还具有大多数软件防火墙所不具备的功能,并且允许更高级的管理。此外,任何“专业级”配置通常都包括强大的供应商支持,这通常对于硬件防火墙来说是更优越的。
编辑后添加:更具体地说,它在专用硬件上运行,因此不会影响您的设备性能。它设置在网络边界,因此您可以使用@jowqwerty 指出的“保险库门”方法。它为多台服务器提供防火墙规则、NAT 转换等的集中管理。与典型的软件防火墙相比,它可能允许更高级的 NAT/PAT 配置或其他选项。它通常具有更强大的专业供应商支持。
答案3
“硬件”防火墙只是运行防火墙软件的专用设备。它们实际上并非完全由硬件实现。话虽如此,大多数硬件防火墙都能够完全抵御脚本小子、恶意软件以及可能存在于完整 Windows PC 中的各种漏洞。对于高价值网站,我永远不会相信 Windows 软件本身就足够安全。
答案4
安全性是层层叠加的,就像洋葱一样。您需要周边保护和主机保护,以及主机保护之间和内部的所有保护(应用程序等)。
硬件与大多数答案所表明的今天并没有什么不同,它只是设备形式的软件。我会毫不犹豫地将 Microsoft TMG 放在外围防御上,然后使用内置防火墙进行主机防御,但通常通过混合不同的防火墙系统(如 Cisco 设备和/或基于 Linux 的外围防火墙)会带来一些额外的安全感(并增加维护负担)。