服务器是否应该运行自己的防火墙(Windows防火墙,Linux IPTables),还是不值得? 5个服务器的答案与50 vs 500的答案不同吗? (假设先前的服务器与工作站位于同一networking,则较大的服务器有单独的服务器)。
操作系统是否重要?
你什么时候使用/不使用它们。
“服务器应该运行自己的防火墙吗?”
我喜欢这样的问题!
当然有争论和反对,但唯一的答案就是squ all所暗示的另一个问题。
任何一台计算机的防火墙的需求都直接关系到周围的networking拓扑和预期的使用情况。
如果networking中有服务器,而其他服务器由其他服务器组成,那么主要工作就是与该networking上的其他服务器进行交互,整个networking从互联网(以及任何其他适当的内部networking),然后我说不。 实施,logging和维护每台主机防火墙的额外pipe理开销几乎没有必要。 我会推荐一个networking入侵检测系统(NIDS),以便你可以监视主机的行为,并且一如既往地定期进行备份并使它们脱机(即popup磁带),但是除此之外,它只是让你记住更改随着您的服务器的需求进行调整。
如果您的服务器在路由器的“外部”一侧是隔离的,否则这些服务器不受互联网保护,或者需要无法使用基于硬件的防火墙类设备进行布局,那么是的。 如果出于任何原因,你的networking服务器都是在内部networking的舒适范围之外的孤独,那么是的,防火墙是小狗,并且为你自己一个忙,并且默认为拒绝。 如果由于某种原因,该服务器通过VPN,静态路由或双归属网卡具有对内部服务器的某种特权访问权限,请确保对传出连接进行防火墙。 总是有这样的机会:任何无根运行的守护进程都会受到攻击,并启动攻击易受攻击的networking连接,相信内部资源。 在开始之前停止它。
如果你有一个用户桌面,防火墙它。 使其成为你的形象的一部分,使用支持Active Directory(或任何集中控制你的)pipe理的防火墙软件,特别是允许你需要的服务。 您的用户将得到恶意软件。 这是不可避免的,如果足够“不正常”,它会试图攻击你的其他资源。 确保在发生这种情况时看到警报。
我相信我错过了一些情况,但总的来说,防火墙的安全性是可pipe理性和可用性的折衷。 有时候是值得的,有时候不是。
国际海事组织,如果你有一些以上的服务器,在主机上运行防火墙可能是一个坏主意,因为你正在设置自己的失败。 除非你有非常强大的变更和configurationpipe理,否则你必然会遇到错误的configuration和陈旧的configuration。
你也正在创build一个内部控制问题。 你想要你的系统pipe理员或应用程序pipe理员与根控制networking访问? 听起来像麻烦给我 – 这个angular色属于networkingpipe理员或专用防火墙/安全pipe理员。
如果您在“敌对”环境中运行服务器,我可以看到它是适当的。 客户站点,科罗拉多州的服务器等
答案是,这取决于你的环境的需求。 我个人不会在服务器上使用它们,但是我也有很多其他的东西来保护事物。 如果我没有,那么我会使用它们。 根本没有硬性规定,如你所要求的。
如果您向我们提供关于您的环境的更多信息,我们可以帮助您了解可能对您有意义的一些build议。
是的,他们应该不pipe服务器的数量。 另外如果您使用Windows服务器 – 启用服务器之间的IPSec通信。
理想情况下,你也希望将不同的服务器angular色分开到不同的VLAN。
正如其他人所说的那样,这取决于环境。 在我看来,这取决于你能否绝对保证服务器所连接的networking的安全。 如果networking如果从任何其他networking进行了适当的防火墙,并且可以保证networking的安全(例如,从您的控制之外的附加设备连接到networking),则没有软件防火墙就没问题。 如果你在服务器上有一个软件防火墙,你应该确保你logging你在做什么,为了你自己。