我们有一个Win 2003的服务器在一段时间。 它被用作Web服务器,并且在它和互联网之间有一个非常便宜的硬件防火墙。 端口3389和80是唯一转发给服务器的端口。 我正在做一些升级,并想知道我是否真的需要防火墙。 使用Win 2003内置的防火墙来确保只有3389和80上的stream量能够通过吗?是否有任何缺点?
基于硬件的防火墙意味着成为工业强度的防护措施,而不仅仅是阻塞端口。 它们具有高度可configuration性,速度快,旨在屏蔽实际服务器免受攻击或过度/不必要的负载,同时与正在保护的操作系统分离。
请浏览http://networking.anandsoft.com/network-security-firewalls.html进行一个很好的并行比较。
总之,没有。
不,你不需要单个节点的硬件防火墙。 内置在Windows中的软件包过滤防火墙可以做你所需要的。
不,你不必拥有一个,但是如果这个服务器正在为你做任何有价值的事情,你真的应该有一个。 单独的防火墙将有助于减轻一些风险,包括但不限于:
如果你拥有的只是操作系统的防火墙,那么操作系统级别的0天或者DDoS错误可能会让你失望。 如果你不小心打开了一些不应该的东西,单独的防火墙会增加额外的图层保护。 如果您的服务器确实受到威胁,那么单独的防火墙可以帮助您检测到这种危害。 单独的防火墙不会增加成本和复杂性。 在我看来,在大多数情况下,利弊大于弊。
您还应该考虑更改您的默认RDP端口http://www.petri.co.il/change_terminal_server_listening_port.htm