Аналогично этим вопросам:
Какие правила брандмауэра следует использовать для домашней системы и
Брандмауэр на VPS Используйте встроенный Windows
Но более конкретно, я предполагаю, что использование брандмауэра Windows и встроенного брандмауэра маршрутизатора избыточно? Что обычно считается лучшим вариантом для обычного использования компьютера / Интернета? (Например, у меня лично есть Маршрутизатор D-Link) Что бы вы посоветовали нетехническим подкованным людям?
Я всегда слышал, что маршрутизатор / аппаратный брандмауэр лучше, чем программный. И да, они избыточны. Но одна вещь, которую вы часто слышите от сотрудников службы безопасности, - это фраза «эшелонированная защита».
Таким образом, даже если они избыточны, вы можете обнаружить, что удвоение брандмауэра, вероятно, не повредит, и на всякий случай неплохо иметь резервную копию.
Имейте в виду, что в Windows XP встроенный брандмауэр (брандмауэр Windows) обеспечивает только защиту входящего трафика. Программа, работающая на вашем компьютере, которая пытается получить доступ к Интернету, не будет остановлена или проверена встроенным брандмауэром Windows.
Я считаю, что в Vista встроенный брандмауэр выполняет проверку исходящего трафика, но по умолчанию он отключен. Почему это так, я могу только догадываться.
Ключевым преимуществом безопасности, которое обеспечивает мой маршрутизатор, является преобразование сетевых адресов (NAT). Как говорили другие, это переводит мой внешний (назначенный провайдером) IP-адрес на внутренний частный IP-адрес. Я могу ошибаться, но это то, что я имею в виду, когда говорю об аппаратном брандмауэре.
Итак, в XP я использую межсетевой экран маршрутизатора (аппаратный) и запускаю другой программный межсетевой экран, чтобы обеспечить дополнительный уровень защиты входящего трафика, а также столь необходимую защиту исходящего трафика.
Как я уверен, вы знаете, роутер можно настроить на открытие различных портов. Программный брандмауэр также будет следить за входящим доступом через любые открытые порты. Так, например, если вы открываете временный порт, но затем забываете его закрыть, полезно иметь программный брандмауэр в качестве резервной копии.
Я также отключаю встроенный брандмауэр Windows. Это фактически рекомендуется Microsoft и другими поставщиками, т.е. запускать одновременно только один программный брандмауэр.
Они избыточны, но брандмауэр Windows по-прежнему может быть полезен - например, если компьютер вашего ребенка заражен и атакует другие системы в локальной сети, он не сможет пройти через брандмауэр Windows. Если у вас есть ноутбук с док-станцией, часто бывает удобно оставить брандмауэр включенным, даже когда он подключен к локальной сети, чтобы вы не забыли снова включить его во время путешествия.
В большинстве случаев дома любой маршрутизатор, за которым вы находитесь, вполне приемлем для защиты вас и вашего ПК от любого рода вторжений, особенно если удаленное управление отключено. Вам нужно остерегаться приложений, которые могут открывать порты вашего маршрутизатора с помощью UPnP. В целом это неплохо, в зависимости от того, насколько вы параноик.
С другой стороны, брандмауэр Windows не является избыточным. Все, что делает ваш маршрутизатор, - это помещает ваш компьютер в частную сеть с IP-адресом, отличным от вашего публичного IP-адреса, и при желании перенаправляет соединения по определенным портам на ваш компьютер в частной сети. Брандмауэр Windows может защищать и уведомлять вас об исходящих подключениях, которые ваш компьютер пытается инициировать, а также обеспечивает дополнительный уровень защиты от входящих подключений, которые вы явно не разрешили.