服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows的networking服务器应该有一个硬件防火墙?
Intereting Posts
Ubuntu apt-get upgrade -s |的安全更新是正确的 grep安全还是无人值守升级? PHP运行速度太慢,总是显示“504 Gateway Time-out” 工具/实用程序提取服务器的基本硬件内部结构 尝试读取密钥文件时,NTP服务器权限被拒绝 需要将IP从一台机器移到另一台机器上 在多个主机上使用VMware分布式交换机来伪装NAT 如何在没有停机的情况下升级单个实例的大小 对于具有通用(SSD)(gp2)的AWS Oracle RDS,IOPS是否被限制在3000? kvm -net只传递广播,多播和访客目标stream量 我如何在Linux中打开RDP端口? 远程端口转发不起作用 镜像服务器设置 如何解释Cisco IOS web“信号噪声(dBm)”? IIS和Apache在同一台机器和相同的端口上进行真正的部署(非testing服务器) Win Server 2k8核心缺lessDll

Windows的networking服务器应该有一个硬件防火墙?

有没有什么令人信服的理由来保护专用的服务器(在我的情况下,Windows 2008 R2)与硬件防火墙? 硬件防火墙比内置的软件防火墙更好的安全性是什么?

谢谢,

阿德里安

编辑:澄清:我指的是定期由客户使用运行由Micro-ISV运行的SaaS网站的服务器。 我不是指数百万的企业。

第二编辑::服务器负载不是在我的情况下的问题。 服务器永远不会以超过20%的CPU或超过50%的内存负载运行。 也不是集中pipe理 – 只有一个Windows服务器。

如果你只有一台服务器,那么如果你知道你在做什么 ,我认为依靠内置的软件防火墙是可以的

但是,当您拥有2,3,4 … 10台服务器时,pipe理起来相当复杂,您最好使用可在一个地方pipe理的硬件防火墙。

(尽pipe如此,你仍然需要软件和硬件防火墙来实现“纵深防御”的理论,所以在任何情况下,你都无法在每台服务器上运行软件防火墙。根据我的经验,Windows Server 2008及更高版本有优秀的软件防火墙,我们专门用堆栈溢出2年。)

显然,“职业等级”并不是一个具有明确属性的官方术语,但是如果我们假设它通常是最好的configuration,那么我的经验是硬件防火墙。 尽pipe硬件和软件防火墙在理论上可以执行相同的function,但硬件防火墙允许您将该工作卸载到专用设备。 “专业级”防火墙还具有大多数软件防火墙所不具备的function,并允许更先进的pipe理。 而且,任何“专业级”configuration通常都会包含强大的供应商支持,这通常比硬件防火墙更好。

编辑添加:更具体地说,它运行在专用硬件上,所以它不会从你的机器中抢夺性能。 它设置在你的networking边界,以便你有@jowqwerty指出的“金库门”方法。 它为多个服务器提供防火墙规则,NAT转换等的集中pipe理。 它可能允许更高级的NAT / PATconfiguration或其他选项,而不是典型的软件防火墙。 它通常有更强大的专业供应商支持。

“硬件”防火墙只是运行防火墙软件的专用设备。 它们实际上并不是单独用硬件实现的。 也就是说,大多数硬件防火墙对于脚本小子,恶意软件以及可能存在于完整的Windows PC中的各种漏洞都是完全防御的。 对于高价值的网站,我永远不会相信Windows软件足够安全。

我们没有防火墙来保护我们的任何服务器。 原因如下:

基于主机的安全性表示,任何开放的端口都是潜在的漏洞(包括但不限于您有意向公众提供的端口)。 如果你的服务器根本没有任何开放的端口,但是你想向公众提供的端口,这几乎是防火墙给你的保护。 防火墙带来的唯一好处就是可以轻松控制互联网上的哪些IP地址(或不允许)访问公开的端口。 不过,许多服务器都有这个function。 另外一个好处是,硬件防火墙可以被configuration为只使用一个公共IP地址的许多机器 – 这是他们目前使用的大部分。

另外,如果有些端口是开放的,而且服务器正在运行,因为你知道它们在某种程度上是脆弱的(因此需要单独的防火墙的保护),所以你不想公开可用(因此,需要单独的防火墙的保护),安全原则说这对攻击者几乎没有保护,因为有几种方法可以绕过防火墙。 假设你在防火墙后面有一个SSH或HTTP服务器,并且在同一个networking上有几个易受攻击的Windows机器。 如果有人闯入服务器,他们可以访问整个内部networking。 同样,如果有人下载病毒,该计算机可能会从networking内部攻击您的服务器。

您最好在服务器上使用防火墙软件,而不要使用“硬件”防火墙。 也就是说,如果你甚至需要一个防火墙开始。 保护您的networking服务器,使其运行的唯一软件是IIS,只有IIS将容易受到攻击。 不pipe你是否有防火墙,情况都是如此。

编辑添加:

我本来也想指出一个硬件防火墙也给networking添加了单点故障。 这个问题也是我们没有防火墙保护我们的服务器的主要原因之一。 在集中pipe理的同时,也集中pipe理行政中断。 还值得注意的是,所有的服务器都运行Debian,内核和库中的漏洞在合理的时间内被修补。

尽pipe硬件防火墙可以确保漏洞排列整齐,但是攻击者通常对漏洞排列的位置感兴趣:就像在防火墙中明确打开的端口一样。 如果您提供的服务存在漏洞, 那么就是他们将要攻击的地方。 并通过你的防火墙(S)。 攻击networking的其他部分,寻找防火墙应该保护的更容易的漏洞。

仅供参考,自从切换到Debian并使用Debsecan软件以来,我们还没有任何服务器被利用,除了一些受到networking钓鱼攻击的networking邮件帐户。

它应该在防火墙后面,但是在哪一种types之间差别不大。 硬件防火墙只是一个专有的操作系​​统,通常Linux内置于一个机箱内,并包含一个支持协议,当您对该产品有疑问时可提供帮助。 所有做同样的事情,除非价格和/或支持是一个问题,要么工作正常。

安全层层叠叠,像洋葱一样。 您需要外围保护和主机保护,以及所有可以在主机保护(应用程序等)之间和之内进行的保护。

硬件并不像现在大多数的答案表明真的有什么不同,它只是软件在设备forms。 我会毫不犹豫地将Microsoft TMG放在外围防御,然后使用内置的防火墙进行主机防护,但是通常会通过混合不同的防火墙系统(如Cisco设备和/或其他防火墙)来增加安全性(并增加维护负担)或基于Linux的外围防火墙。

迂腐:应该指出的是,一些高端商业防火墙设备具有定制devise的ASIC芯片,这些ASIC芯片在专用芯片上做了一些工作,而不是在主CPU上。 除非你处理大stream量和大密码,否则通常不需要这样的野兽。 正如其他人已经注意到的那样,在不经意使用的情况下,“硬件防火墙”是指运行最小化,强化的操作系统和防火墙软件的设备,并且与供应商签订支持合同。

对于原来的问题:所有复杂的系统都有缺陷。 为了降低利用风险,我们build立了分层系统,使得这些洞不一致。

图表A: “目标区域只有两米宽,是一个小型的热排气口,位于主口下方,轴直接通向反应堆系统。

我知道我是在接受答案之后进来的,但是我的观点是你也可以使用硬件防火墙。 即使在你的情况下,低端的硬件防火墙(<1000美元)也会对你有好处。 纵深防御是其中的一部分。 但其中一部分是硬件防火墙有专门的芯片来处理networking负载。 意味着他们更好地处理交通。 而且,通过允许防火墙处理所有的废话(如果你把IDS放在边缘,你会看到我的意思是废话),你可以从你的服务器上卸载它,从而使它们的function更好。 他们的内存和CPU没有被捆绑丢弃无效的stream量。 硬件防火墙正在为他们做。 而且,如果你可以付出更多的钱,那么很多硬件防火墙都带有内置的IDS / IPSfunction,这意味着如果有什么东西在pipe道中传出来,就会发出警报。

  1. 而不是考虑作为一个系统pipe理员,并比较这样做的成本,作为一个商业人士考虑,并问“没有硬件防火墙的成本是多less? 如果您的服务器在X小时内离线,您的业务会发生什么情况? 或数据被盗? 你会失去多less客户? 你的商业信誉会怎样?

  2. 您是在办公室还是在数据中心? 大多数数据中心提供硬件防火墙服务,每月收取一定的冗余/故障转移/pipe理费用。 或者得到你自己的防火墙。 几年前,我们花了大约600美元买了一台思科Pix,这非常棒。