O Firewall do Windows 2003 é apropriado para um servidor da Web?

3

Atualmente, tenho um servidor colocado no servidor protegido por um firewall de hardware, mas esse firewall é antigo e quero substituí-lo. Eu queria saber se o software de firewall embutido para o Windows 2003 poderia ser bom o suficiente para essa tarefa. No final, eu realmente só quero bloquear todas as portas, exceto SSL, HTTP, FTP e RDC. Isso é um grande erro / aborrecimento e devo ir com outro firewall de hardware?

    
por catbelly 08.06.2009 / 14:26

7 respostas

2

Sempre que possível, você deve sempre separar seu firewall de seus serviços no nível do aplicativo. Algumas razões incluem:

  • É mais seguro. Conforme mencionado, uma violação no firewall também significará uma violação em seu servidor de aplicativos e um acesso mais fácil aos seus dados se o firewall e o aplicativo estiverem localizados.
  • As coisas são mais fáceis de configurar e solucionar problemas. Os problemas de configuração em seu aplicativo ou firewall geralmente serão mais fáceis de identificar quando os serviços forem separados.
  • É potencialmente mais rápido. Um servidor não precisa fornecer apenas proxy / filtragem de firewall e processamento de aplicativos. Isso terá um nível variável de benefícios com base nas estatísticas de uso e nos requisitos de processamento de seu aplicativo.
  • Você pode ter uma separação organizacional de responsabilidades, de modo que uma equipe de segurança não tenha que se preocupar tanto com a coordenação com uma equipe de desenvolvimento de aplicativos quando as alterações no servidor forem necessárias. Se os serviços estiverem separados, a equipe de segurança pode se preocupar com o firewall, e a equipe do aplicativo pode se preocupar com o servidor de aplicativos.
  • Ah sim, e a execução de um firewall em um controlador de domínio do AD é apenas um erro do BAD. Não sei se esta é a sua situação ou não (provavelmente / espero que não).
por 08.06.2009 / 17:47
5

Eu acho que você deveria ir com outro firewall de hardware, porque se você for com o firewall na máquina de hospedagem, caso alguém invada, ele terá controle sobre o sistema operacional mais o firewall. O firewall IMHO deve ser um processo separado, o que lhe dá mais segurança e flexibilidade.

    
por 08.06.2009 / 14:37
2

O firewall que vem com o Windows Server 2003 está ok, mas eu recomendaria ter um firewall fora do Windows na frente do servidor também. O principal motivo é a configurabilidade. Há muitas coisas que você pode fazer com um firewall mais avançado que o Windows simplesmente não pode fazer. Como outros já mencionaram, isso torna mais difícil para os atacantes, pois agora eles têm dois sistemas para ganhar controle ao invés de um.

A desvantagem de ter um firewall externo é que ele fornece outro ponto único de falha. Existem aplicativos de firewall que serão executados em clusters para que você possa ter mais de um em um modo de failover, mas agora estamos falando de equipamentos adicionais. Se você viveu com um até agora, então você deve estar ok com um daqui para frente. Encontre um PC barato / antigo e coloque um sistema Linux ou OpenBSD nele e use-o como o firewall. Você realmente não precisa de um "dispositivo" dedicado, a menos que o gerenciamento exija um contrato de suporte de um fornecedor.

    
por 08.06.2009 / 14:49
0

Concordo com Maxwell em que ter o firewall no host da web é uma conversa louca, mas você já pensou em construir uma máquina virtual para lidar com as necessidades de seu firewall?

Isso seria visto como uma máquina separada em seu ambiente e teria um custo zero para o hardware, embora a licença do SO precisasse ser paga.

    
por 08.06.2009 / 14:44
0

Eu veria o firewall do Windows como sendo OK para fins casuais ou de usuário doméstico, pois ele atuaria como um impedimento para o hacker mais desinteressado e faria um trabalho bastante razoável de manter bots e script kiddies fora.

Para uma máquina voltada para o público que será ativada 24 horas por dia, 7 dias por semana, quando você nem sempre está fisicamente na própria máquina para poder ver (e responder imediatamente) o que está acontecendo nela, eu quero algo mais sério.

    
por 08.06.2009 / 14:46
0

Provavelmente está tudo bem, desde que não coloque esse servidor no mesmo domínio em sua rede.

No entanto, ter um hardware de firewall separado funciona sempre melhor.

    
por 08.06.2009 / 17:52
0

Três outras notas ...

  • Como o Firewall do Windows é apenas outro aplicativo em execução na mesma máquina que você está tentando proteger, é muito mais fácil atacar ou subverter o firewall.

  • Não sei se há uma maneira de desativar isso, mas por padrão o Firewall do Windows tem uma regra de permissão interna para todas as máquinas na mesma sub-rede. Em outras palavras, se você configurasse uma NIC com um endereço IP público, todas as outras máquinas do seu provedor dentro do mesmo intervalo de IP teriam acesso irrestrito ao seu servidor.

  • Outro recurso que não acredito que possa ser desativado é o fato de o Firewall do Windows não bloquear o tráfego em andamento. Deixando você vulnerável a telefonar para casa ou ataques que chamam código de outro local.

por 05.08.2009 / 22:34