我遇到了一些禁用Windows防火墙的Windowspipe理员,因为“这使得故障排除更加复杂”。
系统在边缘由防火墙设备保护。 他们认为这是足够的。
我的问题是:假设防火墙硬件设备configuration合理,是否有具体的原因来启用操作系统级别的软件防火墙?
我正在寻找的一些types的点:
来自操作系统开发人员(Windows或非Windows)的一些信息,涉及操作系统级防火墙的重要性
只有在OS级防火墙被禁用的情况下才可能进行的攻击示例或示例
编辑:在与@joeqwerty评论讨论后修改问题。
黑客利用其他方法渗透networking变得越来越普遍,而不是通过外围防火墙进入。
常见的一种是在商业停车场放置装有病毒的USB棒 。 也许这个最着名的例子就是Stuxnet病毒 。 这是一种针对系统的病毒,完全没有networking,根本没有互联网或networking访问,所以假设他们不需要防火墙的安全。 这个故事本身是一个令人难以置信的阅读 – 一个人(我们假设一个政府)设法渗透到一个具有破坏核设施的具体要求的离线networking。
这些都很难理解,但绝不是虚构的。 这取决于你的行业。 如果你在金融或银行工作,那么你最好确保你受到保护。 地狱,甚至禁用计算机上的USB端口。 但是如果你经营的是Nan和Pops Little Country Bakery,那么这也许不是什么大不了的事。
和大多数情况一样,定义你的威胁。 例如,如果你知道无论出于什么原因你对Windows服务器的pipe理能力很差,那么把它们全部打开并且只有一个中心点来pipe理(防火墙)会更有意义。 安全总是一个折衷的办法,众所周知,100%安全的唯一方法就是拔掉计算机。 所以,你正在接受一定程度的风险。 如果你必须到30台机器上打开5555端口才能进行某些应用,那么你就浪费了一些时间在其他方面。 当然,如果你有很好的团队成员,那么这是一个问题。
关于很多系统pipe理的一个重要的一点是要立即采取这样的态度:无论你需要支持多less个“X”, 也就是说,如果这个解决scheme适用于2,它应该可以正常工作40,否则你只是真的设置自己的麻烦。 所以做对 ,不要做愚蠢的事情。
如果他们的投诉是增加了故障排除,那么请关注该投诉。 也许这涉及通过桌面上防火墙的Windows策略进行集中pipe理。 如果这样做会导致您在工具上花费100个小时,那么就要权衡由于防火墙造成的多less时间浪费在故障排除问题上。
把你的时间花在最有利的地方。
虽然操作系统级别的防火墙很重要,但一般不build议使用Windows防火墙。 这是一个允许出站防火墙,应用程序可以closures它。 (参考: http : //www.pcworld.com/article/117380/is_microsofts_firewall_secure.html )