Должны ли веб-серверы Windows иметь аппаратный брандмауэр?

Очевидно, что "профессиональный уровень" не является официальным термином с определенными свойствами, но если мы предположим, что он обычно означает наилучшую конфигурацию, то да, по моему опыту, предпочтителен аппаратный брандмауэр. В то время как аппаратные и программные брандмауэры теоретически могут выполнять те же функции, аппаратный брандмауэр позволяет перенести эту работу на выделенное устройство. "Профессиональные" брандмауэры также имеют функции, которых нет в большинстве программных брандмауэров, и обеспечивают гораздо более расширенное управление. Кроме того, любая конфигурация "профессионального уровня", как правило, включает в себя мощную поддержку поставщика, которая, как правило, лучше для аппаратных брандмауэров.

Отредактировано, чтобы добавить: более конкретно, оно работает на выделенном оборудовании, поэтому оно не снижает производительность ваших устройств. Он устанавливается на границе вашей сети, поэтому у вас есть подход "двери хранилища", который отметил @jowqwerty. Он обеспечивает централизованное управление правилами брандмауэра, трансляциями NAT и т. Д. Для нескольких серверов. Это может позволить более сложные конфигурации NAT/PAT или другие параметры, чем типичный программный брандмауэр. Как правило, он имеет более сильную профессиональную поддержку поставщиков.

"Аппаратные" брандмауэры - это просто выделенные устройства, на которых запущено программное обеспечение брандмауэра. Они на самом деле не реализованы исключительно в оборудовании. Тем не менее, большинство аппаратных брандмауэров полностью защищены от взлома сценариев, вредоносных программ и различных эксплойтов, которые могут существовать на полноценном ПК с Windows. Для сайтов с высокой стоимостью я бы никогда не поверил, что программное обеспечение Windows само по себе достаточно безопасно.

У нас нет брандмауэра, защищающего ни один из наших серверов. Вот почему:

Безопасность на основе хоста говорит, что любой открытый порт является потенциальной уязвимостью (включая, помимо прочего, порты, которые вы намеренно делаете доступными для общественности). Если на ваших серверах просто нет открытых портов, а те, которые вы хотите сделать общедоступными, это почти такая же защита, что и брандмауэр. Единственное дополнительное преимущество, которое дает брандмауэр, это то, что вы можете легко контролировать, какие IP-адреса в Интернете разрешены (или не разрешены) для доступа к другим общедоступным портам. Тем не менее, многие серверы имеют встроенную функциональность в любом случае. Еще одно преимущество заключается в том, что аппаратный брандмауэр можно настроить на использование только одного общедоступного IP-адреса для многих компьютеров, что в основном и используется в наши дни.

Кроме того, если открыты порты и запущены серверы, которые вы не хотите делать общедоступными, потому что знаете, что они каким-то образом уязвимы (и, следовательно, нуждаются в защите отдельного брандмауэра), доктрина безопасности говорит, что это мало защищает от злоумышленников, потому что есть несколько способов обойти брандмауэр в любом случае. Предположим, у вас есть SSH или HTTP-сервер за брандмауэром и несколько уязвимых компьютеров с Windows в одной сети. Если кто-то взломает сервер, он получит доступ ко всей внутренней сети. Аналогичным образом, если кто-то загрузит вирус, этот компьютер может атаковать ваш сервер изнутри сети.

Вам лучше использовать программное обеспечение брандмауэра на сервере и не беспокоиться о "аппаратном" брандмауэре. То есть, если вам даже нужен брандмауэр для начала. Защитите свой веб-сервер таким образом, чтобы единственное программное обеспечение, на котором он работает, - это IIS, и только IIS будет уязвим для атак. Что было бы верно, если у вас есть брандмауэр или нет.

Отредактировано, чтобы добавить:

Первоначально я также хотел отметить, что аппаратный брандмауэр также добавляет в сеть единственную точку отказа. Эта проблема также является одной из основных причин того, что у нас нет брандмауэра, защищающего наши серверы. Хотя оно централизует администрирование, оно также централизует перебои, вызванные администрированием. Стоит также отметить, что все серверы работают под управлением Debian, а уязвимости в ядре и библиотеках исправляются в разумные сроки.

В то время как аппаратные брандмауэры гарантируют, что дыры не выстраиваются в линию, злоумышленникам больше всего интересно, где дыры выстраиваются: как в портах, которые специально открыты в брандмауэре. Если в службе, которую вы предоставляете, есть уязвимость, именно здесь они будут атаковать. И пройти через ваш брандмауэр (ы). И атаковать остальную часть сети в поисках более простых уязвимостей, которые якобы защищал брандмауэр.

К вашему сведению, после перехода на Debian и использования программного обеспечения Debsecan у нас не было ни одного сервера, за исключением нескольких учетных записей веб-почты, которые стали жертвами фишинговых атак.

Он должен быть за брандмауэром, но между типами нет особой разницы. Аппаратный брандмауэр - это просто проприетарная ОС, обычно Linux, встроенная в корпус, и включает в себя соглашение о поддержке, которое помогает при возникновении вопросов по продукту. Все делают одно и то же, и если цена и / или поддержка не являются проблемой, либо будут работать нормально.

Безопасность приходит в слоях, как лук. Вам нужна защита как по периметру, так и защита хоста, и все, что вы можете получить между защитой хоста (внутри приложения и т. Д.).

Аппаратное обеспечение не так, как большинство ответов указывают на то, что оно сегодня совсем другое, это просто программное обеспечение в форме устройства. Я бы без колебаний поставил Microsoft TMG на защиту периметра, а затем использовал встроенные брандмауэры для защиты хоста, но, как правило, есть дополнительное чувство безопасности (и повышенная нагрузка на обслуживание), смешивая различные системы брандмауэров, такие как устройство Cisco и / или основанный на Linux межсетевой экран периметра.

Чтобы быть педантичным: следует отметить, что некоторые высокопроизводительные коммерческие устройства брандмауэра оснащены специально разработанными микросхемами ASIC, которые выполняют часть работы на выделенном кремнии, а не на основном процессоре. Такие звери, как правило, не нужны, если вы не имеете дело с большим трафиком и большим крипто. Как уже отмечали другие, при случайном использовании "аппаратный брандмауэр" означает устройство, работающее на минимизированной защищенной ОС и программном обеспечении брандмауэра с контрактом на поддержку от поставщика.

На первоначальный вопрос: все сложные системы имеют недостатки. Чтобы снизить риск эксплойта, мы строим многоуровневые системы, чтобы дыры не выстраивались в линию.

Приложение А: "Целевая зона имеет ширину всего два метра. Это небольшое тепловое выхлопное отверстие, прямо под главным отверстием. Вал ведет прямо к реакторной системе".

1. Вместо того, чтобы думать как системный администратор и сравнивать затраты на это, подумайте об этом как о бизнесмене и спросите: "Сколько стоит отсутствие аппаратного брандмауэра?". Что будет с вашим бизнесом, если ваши серверы отключатся на X часов? или данные были украдены? Сколько клиентов вы бы потеряли? что будет с вашей деловой репутацией?

2. Вы находитесь в своем офисе или в центре обработки данных? Большинство центров обработки данных предлагают услуги аппаратного межсетевого экрана с резервированием / переключением при отказе / управлением за ежемесячную плату. Или получите свой собственный брандмауэр. Несколько лет назад мы купили маленький Cisco Pix примерно за 600 долларов, и это было здорово.

Я знаю, что я приду после того, как ответ будет принят, но моя перспектива в том, чтобы вы тоже использовали аппаратный брандмауэр. Даже в данной ситуации вам подойдут недорогие аппаратные брандмауэры (<1000 долларов США). Глубокая защита является частью этого. Но отчасти это связано с тем, что аппаратные брандмауэры имеют специализированные микросхемы для обработки сетевой нагрузки. То есть они лучше справляются с трафиком. Кроме того, позволяя брандмауэру обрабатывать всю ерунду (а если вы когда-нибудь поставите IDS на грань, вы поймете, что я подразумеваю под ерундой), вы снимаете это с ваших серверов, тем самым позволяя им функционировать лучше. Их память и процессор не связаны, отбрасывая недопустимый трафик. Аппаратный брандмауэр делает это для них. Кроме того, если вы можете заплатить немного больше, многие аппаратные брандмауэры поставляются со встроенными функциями IDS/IPS, что означает, что он может предупредить вас, если что-то идет по трубе, что является причиной для тревоги.