我遇到过一些 Windows 管理员禁用 Windows 防火墙,因为“这会使故障排除更加复杂”。
系统受到边缘防火墙设备的保护。他们认为这就足够了。
我的问题是:假设防火墙硬件设备配置理想,那么启用操作系统级软件防火墙有什么具体理由吗?
我正在寻找某些类型的要点:
来自操作系统开发人员(Windows 或非 Windows)的一些关于操作系统级防火墙重要性的信息
仅当操作系统级防火墙被禁用时才可能发生的漏洞演示或示例
编辑:在与@joeqwerty 在评论中讨论后修改了问题。
答案1
黑客使用除突破外围防火墙之外的其他方法来侵入网络的情况越来越普遍。
一个常见的是在商业停车场遗失带有病毒的 U 盘. 也许最著名的例子是Stuxnet 病毒。这是一种针对完全脱离电网、没有互联网或网络访问的系统(因此人们认为它们不需要防火墙安全)的病毒。这个故事本身就令人难以置信——某人(我们假设是政府)如何设法渗透离线网络,具体要求是破坏核设施。
这些说法虽然牵强,但绝不是虚构。这取决于你的行业。如果你从事金融或银行业,那么你最好确保自己受到保护。甚至禁用电脑上的 USB 端口。但如果你经营 Nan and Pops Little Country Bakery,那么也许这不是什么大问题。
答案2
和大多数事情一样,定义你的威胁。例如,如果你知道出于某种原因,你的 Windows 服务器管理能力较差,那么让它们全部开放并只管理一个中心点(防火墙)可能更有意义。安全是总是这是一种权衡,众所周知,要 100% 安全,唯一的办法就是拔掉电脑电源。因此,你要接受一定程度的风险。如果你必须绕过 30 台机器来为某个应用程序打开端口 5555,那么你就浪费了一些时间,而这些时间你本可以花在其他方面。当然,如果你有非常好的组策略,那么这个问题就不那么严重了。
关于很多系统管理的一个关键问题是立即采取这样一种态度:无论你需要支持多少个“X”,这都无关紧要。也就是说,如果这个解决方案对 2 个“X”有效,那么对 40 个“X”也应该有效,否则你真的会给自己带来麻烦。所以就这么做吧正确的,不要这样做哑的。
如果他们抱怨它增加了故障排除次数,请关注该投诉。也许这涉及通过桌面防火墙的 Windows 策略进行集中管理。如果这样做会导致您在工具上花费 100 个小时,请权衡一下在故障排除防火墙引起的问题上浪费了多少时间。
把时间花在最能带来效益的地方。
答案3
虽然操作系统级防火墙很重要,但通常不推荐使用 Windows 防火墙。它是一个允许出站的防火墙,应用程序可以将其关闭。(参考:http://www.pcworld.com/article/117380/is_microsofts_firewall_secure.html)