В настоящее время у меня есть отдельный сервер, защищенный аппаратным брандмауэром, однако этот брандмауэр старый, и я хочу его заменить. Мне было интересно, может ли встроенный брандмауэр для Windows 2003 достаточно хорош для этой задачи. В конце концов, я просто хочу заблокировать все порты, кроме SSL, HTTP, FTP и RDC. Является ли это большой ошибкой / проблемой, и стоит ли мне просто использовать другой аппаратный брандмауэр?
Я думаю, вам следует использовать другой аппаратный брандмауэр, потому что, если вы используете брандмауэр на хост-машине, в случае взлома, он будет контролировать операционную систему и брандмауэр. Брандмауэр IMHO должен быть отдельным процессом, это дает вам больше безопасности и гибкости.
Брандмауэр, поставляемый с Windows Server 2003, в порядке, но я бы также рекомендовал установить брандмауэр за пределами Windows перед сервером. Основная причина - возможность настройки. Есть много вещей, которые вы можете сделать с помощью более продвинутого брандмауэра, чего не может сделать Windows. Как уже упоминали другие, это усложняет злоумышленникам, поскольку теперь у них есть две системы, чтобы получить контроль вместо одной.
Обратной стороной внешнего брандмауэра является то, что он обеспечивает еще одну единую точку отказа. Существуют приложения брандмауэра, которые будут работать в кластерах, поэтому в режиме аварийного переключения может быть несколько, но теперь мы говорим о дополнительном оборудовании. Если вы жили с одним из них до сих пор, то вы должны быть в порядке с другим в будущем. Найдите дешевый / старый ПК, установите на него систему Linux или OpenBSD и используйте ее в качестве брандмауэра. Вам действительно не нужно специальное «устройство», если руководство не требует от поставщика контракта на поддержку.
По возможности всегда следует отделять брандмауэр от служб уровня приложения. Некоторые причины включают:
Я согласен с Максвеллом в том, что установка брандмауэра на веб-хосте - безумный треп, но задумывались ли вы о создании виртуальной машины для удовлетворения потребностей вашего брандмауэра?
Это будет рассматриваться как отдельный компьютер в вашей среде и будет иметь нулевую стоимость оборудования, хотя за лицензию ОС придется платить.
Я бы рассматривал брандмауэр Windows как подходящий для обычных или домашних пользователей, поскольку в нем он будет действовать как сдерживающий фактор для более незаинтересованных хакеров и выполнять достаточно разумную работу по удержанию ботов и скриптовых детишек.
Для общедоступной машины, которая будет работать круглосуточно и без выходных, в моменты, когда вы не всегда физически находитесь на самой машине, чтобы иметь возможность просматривать (и немедленно реагировать), что на ней происходит, я бы хотел чего-то более серьезного. .
Это, вероятно, нормально, если только этот сервер не находится в том же домене в вашей сети.
Однако наличие отдельного брандмауэра всегда работает лучше.
Еще три заметки ...
Поскольку брандмауэр Windows - это просто еще одно приложение, работающее на той же машине, которую вы пытаетесь защитить, гораздо проще атаковать или взломать брандмауэр.
Я не уверен, есть ли способ отключить это, но по умолчанию брандмауэр Windows имеет встроенное разрешающее правило для всех компьютеров в одной подсети. Другими словами, если бы вы настроили сетевую карту с общедоступным IP-адресом, все остальные машины вашего интернет-провайдера в том же диапазоне IP-адресов имели бы беспрепятственный доступ к вашему серверу.
Еще одна функция, которую я не думаю, можно отключить, - это то, что брандмауэр Windows не блокирует проходящий трафик. Оставляя вас уязвимым для звонков домой или атак, которые вызывают код из другого места.