我正在寻找一个专门的服务器的防火墙的build议,将承载一些平均stream量的网站(每月5000独立)。 托pipe公司有端口和完整的硬件防火墙。 还有安装软件防火墙的选项。 这里提到的“端口”保护的保护级别是什么: http : //www.xlhost.com/firewall.php ? 这足够吗? 任何build议(Windows Server操作系统)?
它看起来像一个FireBox的端口将提供体面的保护。 你想要应用程序级别的保护? FireBox可能无法在同一个TCP / IP端口上识别不同的应用程序stream量。 意思是说,如果你有一个软件防火墙,你可以对它进行更精细的configuration,只允许某个可执行文件访问端口80(例如),而对于防火墙上的端口,则只能调整端口80允许或拒绝stream量,而不考虑可执行文件启动或响应服务器上的stream量。
正如ErikA指出的那样,Windows Server的内置防火墙似乎是足够的(只要是Server 2008或更高版本)。 值得注意的一些备选scheme是:
由于我不知道自己的愿望是什么,所以你必须做一些挖掘工作,将产品与Windows内部防火墙进行比较,看看对你有什么好处。
那么如果这是Windows Server 2008,它实际上有一个相当有能力的软件防火墙。
不幸的是,正确地使用防火墙就像获得encryption一样 – 许多人认为他们可以做到这一点,因为很多专家认为他们可以做到。 做对不是那么容易。
如果FD邮件列表是任何指南,那么Firebox容易受到Syn-Fin的歧义 。 这段代码最好的certificate。
if(tcp->syn && !(tcp->ack || tcp->rst)) tcpsyn=1; 如果不是一目了然的话,只要你用同步位设置完成,这样一个处理代码这样的处理代码就可以让数据包通过防火墙,从而有效地消除端口过滤。
简而言之,如果安全问题是你关心的问题,我会坚持使用真实的ASA / PIX。 如果不这样做的话,BlackIce防火墙就可以做得非常好,当然还有pf / iptables。
你也可以看看pfsense: http ://www.pfsense.org/index.php?option = com_content&task = view& id= 40&Itemid = 43
假设它实际上是一个专用的服务器,而不是一个VPS,你可以在金属(debian-netinst等)上安装一个裸机Linux发行版,运行Shorewall ,然后在Xen,KVM或VirtualBox无头实例下运行windows机器。