我们的 CIO 已在所有 Windows 服务器上启用了 Windows 防火墙。我们有网络防火墙 (WatchGuard)。我认为启用 Windows 防火墙不是一个好主意,因为它可能会与我们的网络防火墙发生冲突。我知道安全永远不嫌多,但我发现 Windows 防火墙不如常规网络防火墙有效。有对错之分吗?
答案1
“有效”在这里是一个相当主观的术语。
硬件防火墙和 Windows 防火墙都可以阻止不需要的流量。您可能认为硬件防火墙更有效的主要原因是它可以在超载之前处理更多流量。但在某些情况下,Windows 防火墙可能更受欢迎,原因有很多。
例如,你的硬件防火墙可能无法做到WHO允许在给定端口上传递流量。Windows 防火墙可以打开端口,但只允许一组选定的用户或计算机打开。某些应用程序使用不同的端口进行连接,Windows 防火墙可以让应用程序选择打开哪些端口,而不需要打开应用程序在硬件防火墙上可能使用的整个范围。
或者也许您公司的政治环境是这样的,硬件防火墙更改需要几天/几周的时间才能获得批准,而应用程序/服务器团队需要/想要更多的控制权。
也许您的硬件防火墙仅保护您的边缘网络,而当权者希望更好地防范内部威胁或同一 VLAN 或子网中的威胁。
任何状况之下,纵深防御通常被认为是一件好事。强制启用 Windows 防火墙可能会让应用程序团队更加清楚他们的服务需要打开哪些功能,随后向硬件防火墙团队提交更好的防火墙请求。