web-dev-qa-db-ja.com

Windowsファイアウォールは運用環境での実行に適していますか?

Windowsファイアウォールは、運用Webサーバーで唯一の保護として実行するのに適していますか?十分に硬化していますか?十分堅牢ですか?そして十分にテストされましたか?

クラウドサービスでRackspaceを使用してVPSを実行しています。 Windows Server 2008を実行しています。外部との間に他のファイアウォールがあるとは思いません。私のブログから、いくつかのクライアントWebサイトに至るまで、いくつかのことを扱っています。いずれもeコマースではありませんが、クライアントはデータを非公開にしてほしいと思います。

8
Greg B

それはあなたとあなたの経験次第だと思います。私たち(私が働いている会社)はWindowsファイアウォールを使用しています。私の知る限り、多くの小規模企業がWindowsファイアウォールを実行しています。これはファイアウォールだけなので、自分で作成したものより安全ではありません。 ACL(アクセス制御リスト)を考慮して、許可するトラフィックと許可しないトラフィックを指定します。

Windowsファイアウォールの使用を検討している場合は、これら2つのサイトをお勧めします。

これは「小規模企業でWindowsファイアウォールを構成する方法:
http://technet.Microsoft.com/en-us/library/cc875816.aspx

これは、Windowsファイアウォールの高度な構成の概要とともにMicrosoftから提供されたテキストファイルです。
セキュリティが強化されたWindowsファイアウォールの概要

5
psalomonsen

私はWindowsファイアウォールに十分に精通していませんが、本当にきめ細かい制御はできず、「WWWを許可してください」しか許可していないと思います。したがって、初心者のIMOにのみ適しています。しかし、考慮すべきより根本的な問題があります:

基盤となるWindowsシステムに問題がある場合、ファイアウォールとWebサーバーの両方が危険にさらされ、攻撃者が自分の影響力を好きなように拡張できる可能性があります。特に、それらが同じマシン上にある場合。

対照的に、Windowsサーバーの前にBSDベースのファイアウォールを展開すると、攻撃対象領域を大幅に減らすことができます。 BSDのバグは1か月あたり非常に少なく、パケットフィルターは、Windowsボックスでのバグの悪用を防止したり、少なくとも通信を制限/監視したりできます。

コードベース、更新率、バグ率が低下しているため、BSDボックスを導入すると、メンテナンスのオーバーヘッドが最小限に抑えられます。 Linux/iptablesに詳しい人がいる場合は、Shorewallなどの専用のLinuxディストリビューションを調べたり、お気に入りのLinuxディストリビューションを削除したりすることもできます。

3
pepe

いいえ、そうではありません。ファイアウォールが、コンテンツまたはリソースを提供している同じサーバー上で実行されており、これは悪い習慣と見なされています。攻撃に利用できる攻撃面は大きすぎます。

これを回避するために行ったのは、Windowsマシンに加えて小さなCentOS Linuxマシンを予約し、ファイアウォールとしてIPTablesをセットアップし、Nginxを使用してすべてのポート80および443 WebリクエストをIIS = Windowsマシン上。

WebアプリのユーザーはNgixサーバーから応答を受け取り、IISが表示される前に適切なセキュリティと制御のレイヤーがあります。

それが私の.02 $

SG

2
sgia

ファイアウォールとウェブサーバーが同じマシン上にあるようです-これにより、攻撃対象が増えます。

保護している資産を定量化する必要があります。それから、それらを保護するために費やす金額を決定できます。

2
Bradley Kreider