Acabei de ter uma reunião interessante com os seguranças e o ponto principal desta reunião que eu gostaria de ter um backup é:
O Apache é seguro, porque só precisa das portas 80 e 443 (para acesso http e https) abertas. O IIS precisaria de muito mais portas abertas para o cliente porque também precisa de DNS e outras coisas.
Isso soa muito suspeito e não me interprete mal: gosto do apache tanto quanto gosto do IIS, mas não sou especialista em firewall e configuração de rede: precisaria de algumas opiniões sobre isso.
Para respostas, apenas assuma as versões mais recentes do apache e do IIS.
Não há razão alguma para que um servidor IIS tenha mais portas abertas do que um servidor apache. Agora, na realidade, talvez teria mais portas que você pode querer abrir entre ele e os servidores por trás dele (AD etc.), mas se você tivesse interfaces frontal e traseira, você só as abriria na parte traseira de qualquer maneira, tornando IIS tão capaz de rodar com o 80/443 nas portas frontais como o apache.
Eu tenho a sensação de que seus seguranças estão te dando uma carga. Eu só tenho portas 80/443 abertas no front-end do meu servidor e não tenho nenhum problema.
Como outros já mencionaram, um servidor HTTP (IIS / Apache) não precisa de mais portas abertas do que o outro. O que eles parecem ser confuso / ofuscante é mais abaixo do servidor HTTP. O Windows associado a um domínio do Active Directory depende muito do DNS.
Um diagrama de onde os servidores estão posicionados em relação a qualquer firewall ajudaria. Parece que o servidor da Web deve estar voltado para o público. Se for esse o caso, é em uma DMZ?
Eu concordo com os outros, no entanto. Não deve haver razão para expor mais de 80/443 ao público, em qualquer situação.
Editar:
Na sua DMZ, se a caixa do Windows tiver que ser unida a um domínio do AD e não houver DC na DMZ (o que eu estou supondo que não haja), portas adicionais precisarão ser abertas para se comunicar com o DNS e DA.
Agora, eu não sou um deus * nix, mas se houver algum tipo de autenticação central acontecendo para o Apache, acho que esse também será o caso. Talvez isso já tenha sido configurado, e eles estão empurrando mais para usar a configuração existente.
Conclusão: a declaração de que o IIS precisa de portas adicionais abertas simplesmente não é verdadeira. Todos os serviços subjacentes MIGHT precisam ter mais portas abertas, mas dependem completamente de como o aplicativo da Web funcionará e como ele é gerenciado. Para serviços HTTP diretos, as portas padrão 80/443 são tudo o que é necessário.
Tags firewall apache-2.2 iis port