У меня Windows Server 2008 R2 работает в сети Rackspace, и мне трудно защитить его за Linux и iptables ...
Я хотел бы знать, достаточно ли безопасен брандмауэр Windows, чтобы оставить сервер доступным из общедоступного Интернета без какой-либо другой системы безопасности ...
Спасибо
Это старый вопрос, но, чтобы добавить немного деталей, брандмауэр Windows безопасен, но ему не хватает некоторой опции фильтрации пакетов, которую предлагает стек linux / BSD.
Он сохраняет состояние в TCP / IP, псевдо-состояние в UDP и без сохранения состояния в ICMP.
Полный текст;
Брандмауэр Windows обеспечивает фильтрацию трафика TCP / IP (IPv4 и IPv6) с отслеживанием состояния, который использует транспортный протокол TCP. Он также обеспечивает фильтрацию трафика TCP / IP с «псевдосостояниями», использующего транспортный протокол UDP. Трафик ICMP не фильтруется с сохранением состояния; скорее, трафик ICMP разрешен или заблокирован на основе настроек брандмауэра Windows (например, вы можете явно разрешить или запретить входящие эхо-запросы или исходящие сообщения о недоступности адресата, настроив параметры брандмауэра Windows).
Должно быть нормально, временно, но на самом деле зависит от того, что вы делаете, и от ожидаемой нагрузки.
Преимущества выделенного аппаратного брандмауэра заключаются в том, что он дает вам буфер на случай неправильной настройки брандмауэра, Windows или обоих, временного простоя (например, когда / если службу брандмауэра необходимо остановить для применения обновления) и уязвимостей в Windows. Сам межсетевой экран или любая из зависимых служб или сам стек TCP / IP.
Это не означает, что аппаратный брандмауэр сам по себе невосприимчив к ошибкам, но выделенный брандмауэр - это всего лишь: выделенная часть оборудования, единственная цель которой (обычно) - обеспечить проверку пакетов с отслеживанием состояния, (обычно) маршрутизацию / NAT, и другие услуги, связанные с безопасностью; ему не нужно идти на компромиссы, как это делает Windows.
Да. Брандмауэр Windows достаточно хорош. Он отлично справляется с блокировкой IP-адресов / портов. Просто убедитесь, что вы сначала все блокируете, а затем разблокируете только те услуги, которые вам нужны.