Windows Firewall è adatto per l'esecuzione in un ambiente di produzione?

Naviga le tue risposte
8

Windows Firewall è adatto all'esecuzione come unica protezione su un server Web di produzione? È indurito abbastanza? Abbastanza robusto? e testato abbastanza?

Gestisco un VPS con Rackspace sulla loro offerta cloud. È in esecuzione Windows Server 2008. Non credo ci siano altri firewall tra questo e il mondo esterno. Ho alcune cose lì che vanno dal mio blog fino a un paio di siti web dei clienti. Nessuno dei quali è eCommerce, ma sono sicuro che i clienti vorrebbero che i loro dati fossero mantenuti privati.

    
posta Greg B 12.10.2011 - 15:55
fonte

4 risposte

5

Penso che dipenda da te e dalle tue esperienze. Noi (la società per cui lavoro) stiamo utilizzando Windows Firewall. Per quanto ne so, molte piccole imprese utilizzano Windows Firewall. È "solo" un firewall, e quindi non è più sicuro di quello che fai tu stesso. Consideralo ACL (Access Control List) per specificare quale traffico autorizzi e cosa no.

Posso consigliare questi due siti per te, se consideri l'utilizzo di Windows Firewall.

Questo è un "Come configurare Windows Firewall in una piccola impresa:
link

E questo è un file di testo fornito da Microsoft con un'introduzione alla configurazione avanzata di Windows Firewall:
Introduzione a Windows Firewall con sicurezza avanzata

    
risposta data 12.10.2011 - 16:13
fonte
3

Non ho abbastanza familiarità con il firewall di Windows, ma penso che non consenta un controllo molto preciso ma solo "Permetti il WWW". Quindi, è adatto solo per i principianti, IMO. Ma ci sono più problemi fondamentali da considerare:

Se il sistema Windows sottostante ha un problema, è probabile che entrambi, il firewall e il server web, vengano compromessi, consentendo all'avversario di estendere la sua influenza a suo piacimento. Soprattutto se risiedono sulla stessa macchina.

Al contrario, è possibile ridurre in modo significativo la superficie di attacco se si distribuisce un firewall basato su BSD davanti al server Windows. BSD ha molti meno bug / mese e il filtro dei pacchetti sarebbe in grado di prevenire lo sfruttamento dei bug sulla finestra di Windows o almeno limitare / monitorare le comunicazioni.

A causa della base di codice ridotta, della frequenza di aggiornamento e della frequenza dei bug, la scatola BSD aggiunge anche solo un minimo sovraccarico di manutenzione una volta distribuito. Se hai qualcuno che ha familiarità con Linux / iptables, potrebbe anche essere utile guardare a una distribuzione Linux specializzata, come Shorewall, o eliminare la tua distribuzione Linux preferita.

    
risposta data 16.10.2011 - 00:43
fonte
2

Sembra che il tuo firewall e server web si trovino sulla stessa macchina - questo aumenta la tua superficie di attacco.

Devi quantificare le risorse che stai proteggendo, quindi puoi determinare la quantità di denaro da spendere per proteggerle.

    
risposta data 13.10.2011 - 18:06
fonte
2

Direi di no, non lo è. Il firewall è in esecuzione sullo stesso server che fornisce contenuto o risorse e che è considerato una cattiva pratica. La superficie di attacco disponibile per un attacco è troppo grande.

Quello che abbiamo fatto per aggirare questo è prenotare una piccola macchina CentOS Linux oltre alla macchina Windows, configurare IPTables come firewall e usare Nginx per proxy tutte le richieste web 80 e 443 attraverso IIS sul computer Windows.

Gli utenti delle app Web ricevono una risposta da un server Ngix e c'è un adeguato livello di sicurezza e controllo PRIMA di vedere persino IIS.

Questo è il mio .02 $

SG

    
risposta data 09.06.2012 - 22:41
fonte

Leggi altre domande sui tag

In che modo le app mobili mantengono sessioni così lunghe pur essendo considerate sicure? Quali validi e standard client di verifica delle firme digitali sono ampiamente o facilmente implementabili?