我目前有一个共同的服务器被硬件防火墙保护,但是这个防火墙是旧的,我想replace它。 我想知道用于Windows 2003的内置防火墙软件是否可能足够完成此任务。 最后,我真的只想阻止除SSL,HTTP,FTP和RDC之外的所有端口。 这是一个很大的错误/麻烦,我应该去与另一个硬件防火墙?
如果可能,应始终将防火墙与应用程序级别的服务分开。 一些原因包括:
我认为你应该使用另一个硬件防火墙,因为如果你使用主机上的防火墙,万一有人入侵,他将控制OS和防火墙。 恕我直言,防火墙应该是一个独立的过程,这给你更多的安全性和灵活性。
Windows Server 2003附带的防火墙是可以的,但是我build议在服务器之前在Windows之外安装一个防火墙。 主要原因是可configuration性。 Windows可以使用更高级的防火墙来做很多事情。 正如其他人也提到的那样,这使攻击者变得更加困难,因为他们现在有两个系统来控制而不是一个。
有一个外部防火墙的缺点是,它提供了另一个单点故障。 有一些防火墙应用程序可以在集群中运行,因此在故障切换模式下可以有多个防火墙应用程序,但现在我们正在讨论其他设备。 如果你已经和一个人住在一起,那么你应该向前走。 找一台便宜的/旧的电脑,打一个Linux或OpenBSD系统,并用它作为防火墙。 除非pipe理层要求供应商提供支持合同,否则你并不需要专门的“设备”。
我同意麦克斯韦在网站主机上的防火墙是疯狂的谈话,但你有没有考虑build立一个虚拟机来处理你的防火墙需求?
这将在您的环境中被看作是一个单独的机器,并且硬件成本为零,但操作系统许可证需要支付。
我认为Windows防火墙对于休闲或家庭用户来说是可以的,因为它可以起到对不感兴趣的黑客的威慑作用,并且做足够合理的工作来保持机器人和脚本小子的出行。
对于一台面向公众的机器来说,这个机器将会每天24小时不间断地工作,有时候你并不总是身在机器本身,以便能够查看(并立即响应)发生的事情,所以我想要更严肃的事情。
这可能是好的,只要不要将该服务器放在networking中的同一个域中即可。
但是,有一个单独的防火墙硬件总是效果更好。
其他三个笔记…
由于Windows防火墙只是在您试图保护的同一台计算机上运行的另一个应用程序,因此更容易攻击或破坏防火墙。
我不确定是否有办法将其closures,但默认情况下,Windows防火墙对同一子网上的所有计算机都有内置的允许规则。 换句话说,如果您要设置一个带有公共IP地址的网卡,那么在您的ISP的同一IP范围内的所有其他机器将无阻碍地访问您的服务器。
我不认为可以closures的另一个function是Windows防火墙不阻止stream量。 留下你容易打电话回家或攻击从另一个位置调用代码。