我在 Rackspace 网络上运行着 Windows server 2008 R2,在通过 linux 和 iptables 保护它安全方面遇到了困难...
我想知道 Windows 防火墙是否足够安全,可以让服务器无需任何其他安全系统即可从公共互联网访问......
谢谢
答案1
是的。Windows 防火墙已经足够好了。它可以很好地处理阻止 IP/端口。只需确保一开始就阻止所有内容,然后只解除阻止您需要的服务即可。
答案2
暂时应该没问题,但实际上取决于你在做什么以及你预计有多少负载。
专用硬件防火墙的好处是,如果防火墙、Windows 或两者配置错误、暂时停机(即当/如果需要停止防火墙服务以应用更新)以及 Windows 防火墙本身或任何相关服务或 TCP/IP 堆栈本身存在漏洞,它可以为您提供缓冲。
这并不是说硬件防火墙本身不受错误的影响,而是专用防火墙就是这样:一种专用的设备,其(通常)唯一目的是提供状态包检查、(通常)路由/NAT 和其他特定于安全的服务;它不必像 Windows 那样做出妥协。
答案3
这是一个老问题,但补充一点细节,Windows 防火墙是安全的,但缺少 linux/BSD 堆栈提供的一些数据包过滤选项。
它在 TCP/IP 上是有状态的,在 UDP 上是伪状态的,在 ICMP 上是无状态的。
全文;
Windows 防火墙提供使用 TCP 传输协议的 TCP/IP 流量(IPv4 和 IPv6)的状态过滤。它还提供了使用 UDP 传输协议的 TCP/IP 流量的“伪状态”过滤。ICMP 流量不是状态过滤的;相反,ICMP 流量是根据 Windows 防火墙设置允许或阻止的(例如,您可以通过配置 Windows 防火墙设置明确允许或拒绝传入的回显请求或传出的无法到达目标的消息)。