Персональный файрвол на сервере, Имеет ли смысл городить такой огород?
 

Всем доброго утра!

Есть у меня сервер под управлением Win2003 server. На нем крутится IIS, естественно сайт публичный. Стоит этот сервер за железным файрволом с нат-ом. На файрволе открыт 80-й порт на IIS (по техлогоии порт форвардинга). Еще на сервере крутится периодически шареаза, ей на файрволе так же открыт порт.

В общем и файрвол и нат настроены таким образом, что наружу выходят только пакеты от компьютера из внутренней сети, а внутрь сети можно залезть только через 2 порта (на сервер, на IIS и на шареазу).

Кроме сервера в частной сети болтается еще и рабочая станция.

Отсюда вопрос, стоит ли ставить на сервер какойнибудь персональный файрволл вообще? Если да, то стоит ли остановиться на встроенном в виндовс файрволе или поставить нечто более продвинутое, например керио винрут?

Меня это все беспокоит с той точки зрения, что сервер он безмониторный напрочь и ходить на него можно будет только через ремот десктоп. Т.е. если файрвол перестанет меня на него пускать, то это будет жопа :)

Готов выслушать любые мнения.

ultra_boss
За установку персональной стенки на каждую рабочую станцию в составе локальной сети есть два влияющих фактора.

1. Контроль приложений
2. Защита от атак внутри локальной сети.

Если хотя-бы один из этих факторов существенен в твоем случае, то стенку ставить надо. Если нет, то, ИМХО, нет смысла в установке персональной стенки.

З.Ы. Перенес в "БЕЗОПАСНОСТЬ".

Полностью согласен. А как оценить необходимость и серьезность влияния этих двух факторов?

И что ставить - штатный виндус или керио? Просто сервер уедет в серверную и если персональный файрвол закглючит, допустим не будет пускать никого в систему. То это будет БОЛЬШАЯ НЕПРИЯТНОСТЬ :) Я вот чего больше всего опасаюсь.

А если, допустим, винт посыпетца?
А если, допустим, БП перегорит?
А если, допустим, кулера остановятца?
А если , допустим,сетевуха сгорит?
Вот это будут неприятности...
Ближе к телу: работа сисадмина - предусматривать варианты решения проблем в случае "неприятностей", котрые так или иначе случатся . Нужно это твердо уяснить.

ultra_boss
Мы на Windows 2003 Enterprise отказались от сторонних "стенок" в пользу встроенного сервиса Routing and remote access.

Не побоюмь оказаться дремучим, а что это за сервис такой? Что он делает? В двух словах...

ultra_boss
Microsoft Service Description:
Offers routing services to businesses in local area and wide area network environments.
Use Routing and Remote Access when you want to:
• Provide local and branch office computers with high-security Internet access.
• Connect branch offices with corporate intranets, and share resources as if all computers are connected to the same LAN.
• Protect network interfaces with static packet filters or dynamic packet filters.
• Support up to 1,000 simultaneous dial-up or VPN connections to provide remote computers with access to corporate network resources.

Служит для IP рутинга с использованием NAT и простого Firewall'а.

У меня и так нат и файрвол железные стоят. Зачем мне еще роутинг поднимать? Наверное незачем.

ultra_boss
Если есть железный, тогда в софтовом необходимость автоматически отпадает, я правильно понимаю?

Так в этом и был первоначальный вопросс.