我们在 co-lo 上安装了一台 Win 2003 服务器已有一段时间了。它用作 Web 服务器,在它和互联网之间有一个非常便宜的硬件防火墙。只有端口 3389 和 80 被转发到服务器。我正在做一些升级,想知道我是否真的需要防火墙。只使用 Win 2003 内置防火墙来确保只有 3389 和 80 上的流量通过有什么缺点吗?
答案1
基于硬件的防火墙旨在提供工业级防护,其作用不仅限于阻止端口。它们具有高度可配置性、速度快,并且旨在保护实际服务器免受攻击或过度/不必要的负载,同时与它们所保护的操作系统分开。
看一下http://networking.anandsoft.com/network-security-firewalls.html以便进行良好的并排比较。
简而言之,不是的。
答案2
不,您不需要为单个节点安装硬件防火墙。Windows 内置的基于软件的数据包过滤防火墙可以满足您的需要。
答案3
不,您不必拥有防火墙,但如果此服务器正在为您做任何有价值的事情,您确实应该拥有防火墙。单独的防火墙将有助于缓解许多风险,包括但不限于:
- 操作系统错误
- 配置操作系统时的人为错误
- 未被发现的入侵
如果您只有操作系统防火墙,那么操作系统级别的 0day 或 DDoS 漏洞就可能让您陷入瘫痪。如果您不小心打开了不该打开的东西,单独的防火墙可以增加一层额外的保护。如果您的服务器确实受到攻击,单独的防火墙可以帮助您检测到攻击。单独的防火墙确实会增加成本和复杂性。在我看来,在大多数情况下,优点大于缺点。
答案4
您还应该考虑更改默认 RDP 端口 http://www.petri.co.il/change_terminal_server_listening_port.htm