Я медленно осваиваю серверы для корпоративной среды (еще в начале своей ИТ-карьеры)
Я поигрался с брандмауэром Windows и реализовал пару дополнительных правил для входящих подключений к брандмауэру Windows; однако я знаю, что многие компании также используют специализированные аппаратные межсетевые экраны. Может ли кто-нибудь дать мне информацию о нескольких вещах
1) Будет ли использование брандмауэра Windows на сервере достаточно хорошим для компании? 2) Как бы вы интегрировали выделенный брандмауэр и брандмауэр Windows, чтобы у вас был дополнительный уровень безопасности. 3) Любые дополнительные правила, которые должны быть реализованы, но не по умолчанию; Я лично создал правила для входящих подключений, чтобы остановить TeamViewer по UDP и TCP (тот же порт)
Между прочим, делал все это на виртуальной машине, прежде чем вы все испугались
Аппаратные брандмауэры обычно устанавливаются по периметру сети и предотвращают проникновение внешнего трафика, кроме специально разрешенного вами, в вашу сеть. Программные брандмауэры в ОС, я бы сказал, являются дополнительной защитой, которая полезна для предотвращения трафика между узлами в локальной сети, вместо того, чтобы полагаться на него как на единственный брандмауэр. Для администраторов довольно типично отключать брандмауэр Windows в процессе сборки, но мне лично нравится оставлять брандмауэр включенным и разрешать только порты, необходимые для служб, предоставляемых сервером. Хорошим примером того, почему это хорошая практика, является Wannacry, по умолчанию все клиенты и серверы Windows имеют запущенный SMB и открытые административные ресурсы, что сделало их уязвимыми для Wannacry, если они не исправлены, наличие брандмауэра Windows защищает от этого, поскольку служба SMB не работает. отображается, если это явно не разрешено. Обратной стороной разрушения брандмауэра Windows является дополнительное администрирование, необходимое для настройки и поддержания правил брандмауэра.