Что может случиться, если я не установлю аппаратный брандмауэр? Я планирую просто установить программный брандмауэр. Я планирую развернуть веб-сайт со средней посещаемостью, и информация в базе данных будет важна. Но я могу защитить базу данных с помощью действительно хороших паролей.
Худшим может быть то, что вы станете жертвой эксплойта нулевого дня в Windows, IIS или базе данных, которого можно было бы предотвратить, если бы вы создали дополнительный уровень безопасности.
Пароли не защитят вас от взлома, т.е. переполнения буфера.
Если это важно, закрепите его как можно лучше.
Вам необходимо лучше понимать риски, связанные с запуском (любого) веб-сервера. Существуют риски, связанные с ОС и риски веб-сервера. Что касается рисков приложений, то это уже отдельный разговор.
Хотя я знаю, что часто говорят, что Windows небезопасна, я считаю, что любую операционную систему можно сделать безопасной / незащищенной в зависимости от ваших навыков и усердия в применении исправлений и обновлений.
Для защиты Windows Web Server вы можете положиться на встроенный брандмауэр Windows, блокирующий открытые порты. Другой вариант - использовать IPSec для предотвращения любой связи из Интернета с сервером, кроме порта 80/443.
Что касается рисков веб-сервера, вы обнаружите, что и Apache, и IIS имеют свою долю уязвимостей. Главное здесь - поддерживать актуальность патчей и обновлений.
Сделать сервер Windows полностью безопасным в принципе невозможно. У вас обязательно должен быть аппаратный брандмауэр. Это не так уж и дорого; Я только что проверил Newegg.com и обнаружил, что вы можете получить межсетевой экран Netgear FVS336G менее чем за 300 долларов. (Я действительно рекомендую Netgear; меня сжигали другие бренды, такие как Linksys, но меня еще не сжигал Netgear.)
Основная проблема Windows заключается в том, что Microsoft добавила огромное количество функций. Каждая особенность - возможная точка атаки. Даже если вы никогда не используете эти функции, они есть в Windows, и если какая-то из них имеет слабое место, какая-нибудь черная шляпа может взломать ваш сервер. И один-единственный инцидент, когда кто-то взламывает ваш сервер и копирует все ваши данные, серьезно заставит вас пожалеть, что вы потратили эти 300 долларов на брандмауэр. (Еще хуже, если взломщик испортит ваш сервер или уничтожит его, и вам нужно будет его восстановить ...)
Брандмауэр - это небольшое урезанное устройство. У него нет среды выполнения .NET, у него нет почтового сервера, у него нет целого набора вещей, которые есть в Windows. Так что сделать брандмауэр безопасным намного проще. Вы настраиваете брандмауэр, чтобы разрешать трафик только на те порты, которые фактически использует ваша компания, и закрывать все остальные.
С программным брандмауэром, если кто-то может найти эксплойт в самом сетевом коде Windows, ваша машина все равно будет взломана. При использовании аппаратного брандмауэра злоумышленник сначала должен найти эксплойт (в гораздо более жесткой цели), а затем, победив его, ваш программный брандмауэр все еще может остановить его. Многослойная защита.
Если вы действительно не хотите платить 300 долларов за брандмауэр, вот вариант: возьмите старый ПК, вставьте в него две сетевые карты, выньте его жесткий диск и загрузитесь с компакт-диска Devil-Linux.
Что ж, это все равно что оставлять переднюю дверь в банк открытой ночью и заставлять кого-то войти и попытаться взломать сейф, денежные ящики, сейфы и надеяться, что вы не забыли что-то обезопасить. Безопасность начинается с периметра вашей сети.