Персональный файрвол на сервере, Имеет ли смысл городить такой огород? - Безопасность

ultra_boss · 19.05.2006, 21:34

Всем доброго утра!

Есть у меня сервер под управлением Win2003 server. На нем крутится IIS, естественно сайт публичный. Стоит этот сервер за железным файрволом с нат-ом. На файрволе открыт 80-й порт на IIS (по техлогоии порт форвардинга). Еще на сервере крутится периодически шареаза, ей на файрволе так же открыт порт.

В общем и файрвол и нат настроены таким образом, что наружу выходят только пакеты от компьютера из внутренней сети, а внутрь сети можно залезть только через 2 порта (на сервер, на IIS и на шареазу).

Кроме сервера в частной сети болтается еще и рабочая станция.

Отсюда вопрос, стоит ли ставить на сервер какойнибудь персональный файрволл вообще? Если да, то стоит ли остановиться на встроенном в виндовс файрволе или поставить нечто более продвинутое, например керио винрут?

Меня это все беспокоит с той точки зрения, что сервер он безмониторный напрочь и ходить на него можно будет только через ремот десктоп. Т.е. если файрвол перестанет меня на него пускать, то это будет жопа

Готов выслушать любые мнения.

FantomIL · 19.05.2006, 23:41

ultra_boss
За установку персональной стенки на каждую рабочую станцию в составе локальной сети есть два влияющих фактора.

1. Контроль приложений
2. Защита от атак внутри локальной сети.

Если хотя-бы один из этих факторов существенен в твоем случае, то стенку ставить надо. Если нет, то, ИМХО, нет смысла в установке персональной стенки.

З.Ы. Перенес в "БЕЗОПАСНОСТЬ".

ultra_boss · 20.05.2006, 08:58

Цитата:

Сообщение от FantomIL

ultra_boss
За установку персональной стенки на каждую рабочую станцию в составе локальной сети есть два влияющих фактора.

1. Контроль приложений
2. Защита от атак внутри локальной сети.

Если хотя-бы один из этих факторов существенен в твоем случае, то стенку ставить надо. Если нет, то, ИМХО, нет смысла в установке персональной стенки.

З.Ы. Перенес в "БЕЗОПАСНОСТЬ".

Полностью согласен. А как оценить необходимость и серьезность влияния этих двух факторов?

И что ставить - штатный виндус или керио? Просто сервер уедет в серверную и если персональный файрвол закглючит, допустим не будет пускать никого в систему. То это будет БОЛЬШАЯ НЕПРИЯТНОСТЬ

Я вот чего больше всего опасаюсь.

Sgt_Mitchel · 20.05.2006, 18:47

Цитата:

Сообщение от ultra_boss

Просто сервер уедет в серверную и если персональный файрвол закглючит, допустим не будет пускать никого в систему. То это будет ЖОПА

А если, допустим, винт посыпетца?
А если, допустим, БП перегорит?
А если, допустим, кулера остановятца?
А если , допустим,сетевуха сгорит?
Вот это будут неприятности...
Ближе к телу: работа сисадмина - предусматривать варианты решения проблем в случае "неприятностей", котрые так или иначе случатся . Нужно это твердо уяснить.

Rob · 23.05.2006, 14:32

ultra_boss
Мы на Windows 2003 Enterprise отказались от сторонних "стенок" в пользу встроенного сервиса Routing and remote access.

ultra_boss · 23.05.2006, 14:34

Цитата:

Сообщение от Rob

ultra_boss
Мы на Windows 2003 Enterprise отказались от сторонних "стенок" в пользу встроенного сервиса Routing and remote access.

Не побоюмь оказаться дремучим, а что это за сервис такой? Что он делает? В двух словах...

Rob · 23.05.2006, 14:50

ultra_boss
Microsoft Service Description:
Offers routing services to businesses in local area and wide area network environments.
Use Routing and Remote Access when you want to:
• Provide local and branch office computers with high-security Internet access.
• Connect branch offices with corporate intranets, and share resources as if all computers are connected to the same LAN.
• Protect network interfaces with static packet filters or dynamic packet filters.
• Support up to 1,000 simultaneous dial-up or VPN connections to provide remote computers with access to corporate network resources.

Служит для IP рутинга с использованием NAT и простого Firewall'а.

ultra_boss · 23.05.2006, 16:27

Цитата:

Сообщение от Rob

ultra_boss
Microsoft Service Description:
Offers routing services to businesses in local area and wide area network environments.
Use Routing and Remote Access when you want to:
• Provide local and branch office computers with high-security Internet access.
• Connect branch offices with corporate intranets, and share resources as if all computers are connected to the same LAN.
• Protect network interfaces with static packet filters or dynamic packet filters.
• Support up to 1,000 simultaneous dial-up or VPN connections to provide remote computers with access to corporate network resources.

Служит для IP рутинга с использованием NAT и простого Firewall'а.

У меня и так нат и файрвол железные стоят. Зачем мне еще роутинг поднимать? Наверное незачем.

Rob · 23.05.2006, 16:42

ultra_boss
Если есть железный, тогда в софтовом необходимость автоматически отпадает, я правильно понимаю?

ultra_boss · 23.05.2006, 16:45

Цитата:

Сообщение от Rob

ultra_boss
Если есть железный, тогда в софтовом необходимость автоматически отпадает, я правильно понимаю?

Так в этом и был первоначальный вопросс.

19.05.2006, 21:34	# 1
ultra_boss Member Регистрация: 27.06.2005 Сообщения: 257	Персональный файрвол на сервере, Имеет ли смысл городить такой огород? Всем доброго утра! Есть у меня сервер под управлением Win2003 server. На нем крутится IIS, естественно сайт публичный. Стоит этот сервер за железным файрволом с нат-ом. На файрволе открыт 80-й порт на IIS (по техлогоии порт форвардинга). Еще на сервере крутится периодически шареаза, ей на файрволе так же открыт порт. В общем и файрвол и нат настроены таким образом, что наружу выходят только пакеты от компьютера из внутренней сети, а внутрь сети можно залезть только через 2 порта (на сервер, на IIS и на шареазу). Кроме сервера в частной сети болтается еще и рабочая станция. Отсюда вопрос, стоит ли ставить на сервер какойнибудь персональный файрволл вообще? Если да, то стоит ли остановиться на встроенном в виндовс файрволе или поставить нечто более продвинутое, например керио винрут? Меня это все беспокоит с той точки зрения, что сервер он безмониторный напрочь и ходить на него можно будет только через ремот десктоп. Т.е. если файрвол перестанет меня на него пускать, то это будет жопа Готов выслушать любые мнения.

19.05.2006, 23:41	# 2
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	ultra_boss За установку персональной стенки на каждую рабочую станцию в составе локальной сети есть два влияющих фактора. 1. Контроль приложений 2. Защита от атак внутри локальной сети. Если хотя-бы один из этих факторов существенен в твоем случае, то стенку ставить надо. Если нет, то, ИМХО, нет смысла в установке персональной стенки. З.Ы. Перенес в "БЕЗОПАСНОСТЬ". __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

23.05.2006, 14:32	# 5
Rob Счастливый папаша Регистрация: 22.07.2003 Адрес: Мюнск Пол: Male Сообщения: 848	ultra_boss Мы на Windows 2003 Enterprise отказались от сторонних "стенок" в пользу встроенного сервиса Routing and remote access. __________________ Поддержи важную инициативу IMHO.WS: http://imho.ws/showthread.php?t=128894

23.05.2006, 14:50	# 7
Rob Счастливый папаша Регистрация: 22.07.2003 Адрес: Мюнск Пол: Male Сообщения: 848	ultra_boss Microsoft Service Description: Offers routing services to businesses in local area and wide area network environments. Use Routing and Remote Access when you want to: • Provide local and branch office computers with high-security Internet access. • Connect branch offices with corporate intranets, and share resources as if all computers are connected to the same LAN. • Protect network interfaces with static packet filters or dynamic packet filters. • Support up to 1,000 simultaneous dial-up or VPN connections to provide remote computers with access to corporate network resources. Служит для IP рутинга с использованием NAT и простого Firewall'а. __________________ Поддержи важную инициативу IMHO.WS: http://imho.ws/showthread.php?t=128894

23.05.2006, 16:42	# 9
Rob Счастливый папаша Регистрация: 22.07.2003 Адрес: Мюнск Пол: Male Сообщения: 848	ultra_boss Если есть железный, тогда в софтовом необходимость автоматически отпадает, я правильно понимаю? __________________ Поддержи важную инициативу IMHO.WS: http://imho.ws/showthread.php?t=128894