Os servidores web do Windows devem ter um firewall de hardware?

Se você tem apenas um único servidor, eu acho que não há problema em confiar no firewall de software integrado se você sabe o que está fazendo .

No entanto, quando você tem 2, 3, 4 ... 10 servidores, isso se torna bastante complexo para gerenciar, e você é melhor com um firewall de hardware que você pode gerenciar em um só lugar.

(você ainda vai querer firewalls de software e hardware para toda a teoria de "defesa em profundidade", portanto, você não pode deixar de executar os firewalls de software em cada servidor.) Na minha experiência, o Windows Server 2008 e além têm excelentes firewalls de software e os usamos exclusivamente no Stack Overflow por 2 anos.)

Obviamente, "nível profissional" não é um termo oficial com propriedades definidas, mas se assumirmos que geralmente significa a melhor configuração, então sim, um firewall de hardware é preferido em minha experiência. Embora os firewalls de hardware e software possam, teoricamente, executar as mesmas funções, um firewall de hardware permite descarregar esse trabalho em um dispositivo dedicado. Os firewalls de "nível profissional" também possuem recursos que a maioria dos firewalls de software não oferecem e permitem um gerenciamento muito mais avançado. Além disso, qualquer configuração de "nível profissional" geralmente incluirá strong suporte de fornecedor, que geralmente é superior para firewalls de hardware.

Editado para adicionar: Mais especificamente, ele é executado em hardware dedicado, por isso não tira o desempenho de suas caixas. Ele define na fronteira da sua rede, de modo que você tenha a abordagem "porta do cofre" que @jowqwerty observou. Ele fornece gerenciamento centralizado de regras de firewall, traduções NAT, etc para vários servidores. Pode permitir configurações NAT / PAT mais avançadas ou outras opções além de um firewall de software típico. Normalmente, ele tem um suporte profissional mais strong para fornecedores.

Firewalls "hardware" são apenas dispositivos dedicados que executam software de firewall. Eles não são realmente implementados apenas em hardware. Dito isso, a maioria dos firewalls de hardware é completamente à prova de balas contra kiddies de script, malware e várias explorações que podem existir em um PC com Windows completo. Para sites de alto valor, eu nunca confiaria que o Windows Software fosse suficientemente seguro por si só.

Não temos um firewall para proteger nossos servidores. Aqui está o porquê:

A segurança baseada em host diz que qualquer porta aberta é uma vulnerabilidade potencial (incluindo, mas não se limitando a, as portas que você está disponibilizando intencionalmente ao público). Se seus servidores simplesmente não tiverem portas abertas, mas aquelas que você deseja disponibilizar para o público, é quase a mesma proteção que um firewall lhe dará. O único benefício adicional que um firewall trará é que você pode facilmente controlar quais endereços IP na Internet são (ou não) autorizados a acessar as portas disponíveis para o público. No entanto, muitos servidores têm essa funcionalidade incorporada de qualquer maneira. Um outro benefício é que um firewall de hardware pode ser configurado para usar apenas um endereço IP público para várias máquinas - o que é usado principalmente nos dias de hoje.

Além disso, se houver portas abertas e servidores em execução que você não queira disponibilizar publicamente porque você sabe que estão vulneráveis de alguma forma (e, portanto, precisam da proteção de um firewall separado) A doutrina de segurança diz que há pouca proteção contra os invasores, porque há várias maneiras de contornar o firewall de qualquer maneira. Digamos que você tenha um servidor SSH ou HTTP protegido por um firewall e várias máquinas Windows vulneráveis na mesma rede. Se alguém invadir o servidor, ele terá acesso a toda a rede interna. Da mesma forma, se alguém baixar um vírus, esse computador poderá atacar seu servidor de dentro da rede.

É melhor usar o software de firewall no servidor e não se incomodar com o firewall de "hardware". Isto é, se você precisa mesmo de um firewall para começar. Proteja seu servidor Web de forma que o único software em execução seja o IIS, e somente o IIS estará vulnerável a ataques. O que seria verdade se você tem um firewall ou não.

Editado para adicionar:

Eu originalmente também queria salientar que um firewall de hardware também adiciona um único ponto de falha à rede. Esse problema também é um dos principais motivos pelos quais não temos um firewall protegendo nossos servidores. Enquanto centraliza a administração, também centraliza as interrupções causadas pela administração. Também é importante notar que todos os servidores executam o Debian, e as vulnerabilidades no kernel e as bibliotecas são corrigidas em um período de tempo razoável.

Enquanto os firewalls de hardware garantem que os furos não se alinham, os invasores estão interessados principalmente em onde os furos fazem se alinham: como nas portas que são especificamente abertas no firewall. Se há uma vulnerabilidade em um serviço que você fornece, esse é onde eles irão atacar. E atravesse seu (s) firewall (s). E ataque o resto da rede, procurando as vulnerabilidades mais fáceis que o firewall estava supostamente protegendo.

FYI, não tivemos nenhum servidor explorado desde a mudança para o Debian e o uso do software Debsecan, salvo algumas contas de webmail que foram vítimas de ataques de phishing.

Deve estar por trás de um firewall, mas não há muita diferença entre qual tipo. Um firewall de hardware é apenas um sistema operacional proprietário, normalmente o Linux embutido em um gabinete e inclui um contrato de suporte que fornece assistência quando você tiver dúvidas sobre o produto. Todos fazem a mesma coisa e, a menos que o preço e o suporte sejam um problema, funcionarão bem.

A segurança vem em camadas, como cebolas. Você quer proteção de perímetro e proteção de host e tudo o que você pode obter entre e dentro da proteção de host (aplicativo e assim por diante).

O hardware não é como a maioria das respostas indica qualquer diferença hoje, é apenas um software em forma de aparelho. Eu não hesitaria em colocar um TMG da Microsoft na defesa de perímetro e usar os firewalls internos para defesa do host, mas geralmente há alguma sensação adicional de segurança (e maior sobrecarga de manutenção) misturando diferentes sistemas de firewall como um dispositivo Cisco e / ou um firewall de perímetro baseado em Linux.

Para ser pedante: deve-se notar que alguns appliances de firewall comercial de alto nível possuem chips ASIC personalizados que fazem parte do trabalho em silício dedicado, e não no CPU principal. Tais bestas geralmente não são necessárias, a menos que você esteja lidando com um grande tráfego e uma grande criptografia. Como outros observaram, no uso casual, "firewall de hardware" significa um dispositivo que executa um software de firewall e SO minimizado e reforçado, com um contrato de suporte do fornecedor.

Para a pergunta original: Todos os sistemas complexos têm falhas. Para mitigar o risco de exploração, criamos sistemas em camadas, para que os furos não se alinhem.

Exibição A: "A área alvo tem apenas dois metros de largura. É um pequeno porto de escape térmico, logo abaixo do porto principal. o eixo leva diretamente ao sistema do reator. "

Eu sei que estou chegando depois que uma resposta foi aceita, mas minha perspectiva é que você também use um firewall de hardware. Mesmo em sua situação, os firewalls de hardware de baixo custo (< US $ 1000) são bons para você. A defesa em profundidade é parte disso. Mas parte disso é que os firewalls de hardware têm chips especializados para lidar com a carga da rede. Significa que eles lidam melhor com o tráfego. Além disso, ao permitir que o firewall manipule todas as bobagens (e, se você colocar um IDS na borda, verá o que quero dizer com absurdo), você descarregará isso dos seus servidores, permitindo que eles funcionem melhor. Sua memória e CPU não estão sendo amarradas, descartando o tráfego inválido. O firewall de hardware está fazendo isso por eles. Além disso, se você puder pagar um pouco mais, muitos firewalls de hardware vêm com a funcionalidade IDS / IPS integrada, o que significa que ele pode alertá-lo se algo estiver ocorrendo no pipe e for motivo de alarme.

1. Em vez de pensar como um administrador de sistema e comparar o custo de fazê-lo, pense nele como uma pessoa de negócios e pergunte "qual é o custo de não ter um firewall de hardware?" O que aconteceria com sua empresa se seus servidores ficassem off-line por X horas? ou os dados foram roubados? Quantos clientes você perderia? o que aconteceria com a reputação do seu negócio?

2. Você está hospedado em seu escritório ou em um data center? A maioria dos data centers oferece um serviço de firewall de hardware com redundância / failover / gerenciamento por uma taxa mensal. Ou pegue seu próprio firewall. Vários anos atrás, compramos um pouco da Cisco Pix por cerca de US $ 600 e foi ótimo.