Security

Должны ли веб-серверы Windows иметь аппаратный брандмауэр?

Есть ли веские причины для защиты выделенного сервера с помощью аппаратного брандмауэра? Какие проблемы безопасности аппаратный брандмауэр будет решать лучше, чем встроенный программный брандмауэр?

Чтобы уточнить: я имею в виду сервер, на котором запущен SaaS-сайт под управлением Micro-ISV, который используется клиентами на регулярной основе. Я не имею в виду многомиллионный бизнес. Нагрузка на сервер не является проблемой в моем случае. Сервер никогда не работает более чем на 20% процессора или более чем на 50% памяти. Также нет централизованного администрирования есть только один сервер windows.

Ответ 1

Если у вас только один сервер, то я думаю, что можно положиться на встроенный программный брандмауэр, если вы знаете, что делаете. Однако когда у вас 2, 3, 4 ... 10 серверов, это становится довольно сложным в управлении, и лучше использовать аппаратный брандмауэр, которым можно управлять из одного места.

(Однако вам все равно понадобятся программные и аппаратные брандмауэры для теории «защиты в глубину», так что вы в любом случае не сможете отказаться от использования программных брандмауэров на каждом сервере. По моему опыту, Windows Server и последующие версии имеют отличные программные брандмауэры, и мы использовали их в течение последних 2 лет).

Ответ 2

Очевидно, что «профессиональный уровень» не является официальным термином с определенными свойствами, но если мы предположим, что он означает наилучшую конфигурацию, то да, аппаратный брандмауэр предпочтительнее, по моему опыту. Хотя аппаратные и программные брандмауэры теоретически могут выполнять одни и те же функции, аппаратный брандмауэр позволяет переложить эту работу на специальное устройство. Брандмауэры «профессионального класса» также имеют функции, которых нет у большинства программных брандмауэров, и позволяют гораздо более продвинутое управление. Кроме того, любая конфигурация «профессионального класса» обычно включает в себя сильную поддержку производителя, что, как правило, лучше для аппаратных брандмауэров. Более конкретно, он работает на выделенном оборудовании, поэтому он не отнимает производительность у ваших систем. Он устанавливается на границе вашей сети, так что у вас есть подход «двери хранилища». Он обеспечивает централизованное управление правилами брандмауэра, трансляциями NAT и т. д. для нескольких серверов. Он может допускать более продвинутые конфигурации NAT/PAT или другие опции, чем обычный программный брандмауэр. Как правило, он имеет более лучшую профессиональную поддержку поставщика.

Ответ 3

У нас нет брандмауэра, защищающего любой из наших серверов. И вот почему:

  1. Безопасность на основе хоста определяет, что любой открытый порт является потенциальной уязвимостью (включая, но не ограничиваясь, портами, которые вы намеренно делаете общедоступными). Если на ваших серверах просто нет открытых портов, кроме тех, которые вы хотите сделать общедоступными, то это почти такая же защита, какую дает вам брандмауэр. Единственное дополнительное преимущество брандмауэра заключается в том, что вы можете легко контролировать, каким IP-адресам в Интернете разрешен (или не разрешен) доступ к общедоступным портам. Однако во многих серверах эта функция уже встроена. Еще одним преимуществом является то, что аппаратный брандмауэр может быть настроен на использование только одного публичного IP-адреса для многих машин именно для этого они в основном и используются в наши дни.

  2. Кроме того, если есть открытые порты и работающие серверы, которые вы не хотите делать общедоступными, потому что знаете, что они как-то уязвимы (и поэтому нуждаются в защите отдельного брандмауэра), доктрина безопасности говорит, что это слабая защита от злоумышленников, потому что в любом случае есть несколько способов обойти брандмауэр. Скажем, у вас есть SSH или HTTP сервер за брандмауэром, и несколько уязвимых windows машин в той же сети. Если кто-то взломает сервер, он получит доступ ко всей внутренней сети. Аналогично, если кто-то загрузит вирус, этот компьютер может атаковать ваш сервер изнутри сети.

  3. Лучше использовать программное обеспечение брандмауэра на сервере и не беспокоиться об «аппаратном» брандмауэре. То есть, если вам вообще нужен брандмауэр. Защитите свой веб-сервер таким образом, чтобы единственным программным обеспечением на нем был IIS, и только IIS будет уязвим для атак. Это будет верно независимо от того, есть у вас брандмауэр или нет.

Я изначально хотел отметить, что аппаратный брандмауэр также добавляет единую точку отказа в сеть. Эта проблема является одной из основных причин, почему мы не используем брандмауэр для защиты наших серверов. Хотя он централизует администрирование, он также централизует сбои, вызванные администрированием. Стоит еще отметить, что все серверы работают под управлением Debian, а уязвимости в ядре и библиотеках исправляются в разумные сроки.

Хотя аппаратные брандмауэры гарантируют, что уязвимости не выстроятся в ряд, злоумышленников в основном интересует, где они выстроятся: например, в портах, специально открытых в брандмауэре. Если есть уязвимость в услуге, которую вы предоставляете, они будут атаковать именно там. И пройдут через ваш брандмауэр (брандмауэры). И атаковать остальную часть сети, ища более простые уязвимости, которые якобы защищал брандмауэр. К вашему сведению, после перехода на Debian и использования программы Debsecan у нас не было ни одного взломанного сервера, за исключением нескольких учетных записей веб-почты, которые стали жертвами фишинговых атак.

Ответ 4

Я знаю, что вхожу после того, как ответ уже был принят, но я считаю, что вам лучше выбрать аппаратный брандмауэр. Даже в вашей ситуации аппаратные брандмауэры низкого класса (<1000 долларов США) будут полезны. Защита в глубину это часть этого. Но еще одна часть заключается в том, что аппаратные брандмауэры имеют специализированные чипы для обработки сетевой нагрузки. Это означает, что они лучше справляются с трафиком. Кроме того, позволяя брандмауэру обрабатывать всю ерунду (а если вы когда-нибудь поставите IDS на границе, то поймете, что я имею в виду под ерундой), вы снимаете нагрузку с ваших серверов, тем самым позволяя им работать лучше. Их память и процессор не заняты отбрасыванием недействительного трафика. За них это делает аппаратный брандмауэр. Кроме того, если вы можете заплатить немного больше, многие аппаратные брандмауэры поставляются со встроенными функциями IDS/IPS, то есть они могут предупредить вас, если что-то идет по каналу, что вызывает тревогу.

Ответ 5

  1. Вместо того чтобы думать об этом как системный администратор и сравнивать затраты, подумайте об этом как бизнесмен и спросите: «Какова стоимость отсутствия аппаратного брандмауэра?». Что случится с вашим бизнесом, если ваши серверы выйдут из строя на «X» часов? Или данные будут украдены? Сколько клиентов вы потеряете? Что случится с вашей деловой репутацией?

  2. Вы размещаетесь в своем офисе или в центре обработки данных? Большинство центров обработки данных предлагают услуги аппаратного брандмауэра с резервированием, отказоустойчивостью и управлением за ежемесячную плату. Или приобретите свой собственный брандмауэр. Несколько лет назад мы купили маленький Cisco Pix примерно за 600 долларов, и он отлично себя зарекомендовал.

Схожие статьи

Security

Меня взломали. Хочу определить, как это было сделано?

Security

Что требуется разработчикам для запуска собственного сервера виртуальных машин в корпоративной среде

Security

Оптимальная политика сложности пароля пользователя

Security

Какие риски безопасности существуют у сотрудников, использующих Dropbox?

×