¿Es adecuado el Firewall de Windows para ejecutarse en un entorno de producción?

Navega tus respuestas
8

¿Es el Firewall de Windows adecuado para ejecutarse como la única protección en un servidor web de producción? ¿Está lo suficientemente endurecido? ¿Bastante robusto? y lo suficientemente probado?

Estoy ejecutando un VPS con Rackspace en su oferta en la nube. Funciona con Windows Server 2008. No creo que haya otros cortafuegos entre él y el mundo exterior. Tengo algunas cosas allí, desde mi blog hasta un par de sitios web de clientes. Ninguno de los cuales es comercio electrónico, pero estoy seguro de que a los clientes les gustaría que sus datos se mantuvieran en privado.

    
pregunta Greg B 12.10.2011 - 15:55
fuente

4 respuestas

5

Supongo que depende de usted y sus experiencias. Nosotros (la compañía para la que estoy trabajando) estamos usando Windows Firewall. Que yo sepa, muchas pequeñas empresas están ejecutando el Firewall de Windows. Es "solo" un cortafuegos, y por lo tanto no es más seguro que lo que usted lo hace. Considérelo como ACL (listas de control de acceso) que especifica qué tráfico permite y qué no.

Puedo recomendarte estos dos sitios, si consideras usar el Firewall de Windows.

Este es un "Cómo configurar el firewall de Windows en una pequeña empresa:
enlace

Y este es un archivo de texto proporcionado por Microsoft con una Introducción a la Configuración Avanzada de Firewall de Windows:
Introducción al Firewall de Windows con seguridad avanzada

    
respondido por el psalomonsen 12.10.2011 - 16:13
fuente
3

No estoy lo suficientemente familiarizado con el firewall de Windows, pero creo que no permite un control realmente preciso, sino solo "Permitir WWW". Por lo tanto, sólo es adecuado para los principiantes, OMI. Pero hay más problemas fundamentales a considerar:

Si el sistema Windows subyacente tiene un problema, es probable que tanto el servidor de seguridad como el servidor web se vean comprometidos, lo que permite que el adversario extienda su influencia a su gusto. Especialmente si residen en la misma máquina.

Por el contrario, podría reducir significativamente la superficie de ataque si implementa un firewall basado en BSD frente al servidor de Windows. BSD tiene muchos menos errores por mes y el filtro de paquetes podría prevenir la explotación de errores en el cuadro de Windows o al menos restringir / monitorear la comunicación.

Debido a la base de código reducida, la tasa de actualización y la tasa de errores, el cuadro BSD también agrega una sobrecarga de mantenimiento mínima una vez que se implementa. Si tiene alguien familiarizado con Linux / iptables, también puede valer la pena buscar una distribución de Linux especializada, como Shorewall, o eliminar su distribución de Linux favorita.

    
respondido por el pepe 16.10.2011 - 00:43
fuente
2

Parece que su servidor de seguridad y servidor web están en la misma máquina, esto aumenta su superficie de ataque.

Debe cuantificar los activos que está protegiendo, luego puede determinar la cantidad de dinero para gastar en protegerlos.

    
respondido por el rox0r 13.10.2011 - 18:06
fuente
2

Yo diría que no, no lo es. Su firewall se ejecuta en el mismo servidor que proporciona contenido o recursos y se considera una mala práctica. La superficie de ataque disponible para un ataque es demasiado grande.

Lo que hicimos para solucionar esto fue reservar una pequeña máquina CentOS Linux además de la máquina Windows, configurar IPTables como un cortafuegos y usar Nginx para representar todas las solicitudes web del puerto 80 y 443 a través de IIS en la máquina Windows.

Los usuarios de la aplicación web obtienen una respuesta de un servidor Ngix y hay una capa adecuada de seguridad y control ANTES de ver IIS.

Ese es mi .02 $

SG

    
respondido por el sgia 09.06.2012 - 22:41
fuente

Lea otras preguntas en las etiquetas

scripts de ataque de desbordamiento de búfer ¿Qué buenos clientes de verificación de firma digital estándar se implementan amplia o fácilmente?