Я ищу рекомендации по брандмауэрам для выделенного сервера, на котором будет размещаться несколько веб-сайтов со средней посещаемостью (5000 уникальных посетителей в месяц). Хостинговая компания имеет порт и полный аппаратный брандмауэр. Также есть возможность установить программные брандмауэры. Каков уровень защиты упомянутого здесь «порта»: http://www.xlhost.com/firewall.php? Это адекватно? Любые рекомендации (ОС Windows Server)?
Что ж, если это Windows Server 2008, у него действительно есть довольно мощный программный брандмауэр.
Похоже, что порт на FireBox обеспечит достойную защиту. Вы хотите защиту на уровне приложений? FireBox, вероятно, не сможет различать трафик разных приложений на одном и том же TCP / IP-порту. Это означает, что если у вас есть программный брандмауэр, вы могли бы настроить его немного более детально, чтобы разрешить доступ только определенному исполняемому файлу к порту 80 (например), тогда как с портом на брандмауэре вы могли бы настроить порт 80 только на разрешить или запретить трафик независимо от того, какой исполняемый файл инициирует или отвечает на трафик на вашем сервере.
Как заметил ErikA, встроенного брандмауэра Windows Server будет достаточно (если это Server 2008 или новее). Некоторые альтернативы, заслуживающие внимания:
Поскольку я точно не знаю, каковы ваши желания, вам придется немного покопаться, чтобы сравнить продукты с внутренним брандмауэром Windows и точно увидеть, какие преимущества для вас важны.
К сожалению, правильно настроить брандмауэры - это все равно, что правильно настроить шифрование - многие люди думают, что могут сделать это правильно, если на то пошло. эксперты думаю, что они могут сделать это правильно. Сделать это правильно не так-то просто.
Если список рассылки FD представляет собой руководство, Firebox уязвим для Syn-Fin двусмысленность. Лучше всего свидетельствует этот фрагмент кода.
if(tcp->syn && !(tcp->ack || tcp->rst))
tcpsyn=1;
Если это не сразу очевидно, фрагмент кода обработки, подобный этому, позволяет вам пропускать пакеты через брандмауэр, если вы устанавливаете Finish with the Synchronize bit, таким образом эффективно подавляя фильтрацию портов.
Короче говоря, если вас беспокоит безопасность, я бы остановился на испытанном и верном - ASA / PIX. В противном случае межсетевой экран BlackIce работает очень хорошо, как и, конечно же, pf / iptables.
Вы также можете посмотреть pfsense: http://www.pfsense.org/index.php?option=com_content&task=view&id=40&Itemid=43
Предполагая, что это на самом деле выделенный сервер, а не VPS, вы можете установить дистрибутив Linux с голыми костями на металл (debian-netinst и т. Д.), Запустить Shorewall а затем запустите машину Windows под Xen, KVM или экземпляром VirtualBox без головы.