Некоторое время у нас был сервер Win 2003 в ко-ло. Он используется в качестве веб-сервера и имеет очень дешевый аппаратный брандмауэр между ним и Интернетом. Порты 3389 и 80 - единственные, которые перенаправляются на сервер. Я делаю некоторые обновления и задаюсь вопросом, действительно ли мне нужен брандмауэр. Есть ли какие-либо недостатки в использовании встроенного брандмауэра Win 2003 для обеспечения прохождения трафика только на 3389 и 80?
Аппаратные межсетевые экраны предназначены для защиты промышленных предприятий, которые могут делать больше, чем просто блокировать порты. Они легко настраиваются, быстры и предназначены для защиты фактического сервера (ов) от атак или чрезмерной / ненужной нагрузки, будучи отделенными от ОС, которую они защищают.
взглянуть на http://networking.anandsoft.com/network-security-firewalls.html для хорошего параллельного сравнения.
Короче нет.
Нет, вам не обязательно иметь его, но он вам действительно должен быть, если этот сервер делает что-то ценное для вас. Отдельный брандмауэр поможет снизить ряд рисков, включая, помимо прочего:
Если все, что у вас есть, - это брандмауэр ОС, то ошибка 0-дня уровня ОС или DDoS-ошибка может вас сбить. Отдельный брандмауэр добавляет дополнительный уровень защиты на случай, если вы случайно откроете что-то, чего не должно быть. Если ваш сервер действительно взломан, отдельный брандмауэр может помочь вам обнаружить компрометацию. Отдельный брандмауэр увеличивает стоимость и сложность. На мой взгляд, в большинстве случаев плюсы перевешивают минусы.
Нет, вам не нужен аппаратный брандмауэр для одного узла. Программный брандмауэр с фильтром пакетов, встроенный в Windows, может делать то, что вам нужно.
вам также следует подумать об изменении порта RDP по умолчанию http://www.petri.co.il/change_terminal_server_listening_port.htm