GurdeepS Asked: 2010-03-01 10:52:22 +0800 CST2010-03-01 10:52:22 +0800 CST 2010-03-01 10:52:22 +0800 CST Windows Server 的防火墙选择 772 如果我使用 Windows Server 作为主机操作系统,我有哪些防火墙/AV 选项? 谢谢 windows-server-2008 2 个回答 Voted Bryan 'BJ' Hoffpauir Jr. 2010-03-01T11:54:28+08:002010-03-01T11:54:28+08:00 在不知道您的网络是如何设计和实施的情况下,提出有针对性的建议有点困难。话虽如此,Microsoft 堆栈在 Forefront Security Suite 中有一个非常完善的软件防火墙产品(以及一些新添加的客户端 AV 解决方案)。 此链接包含全套 Forefront 产品的详细信息 - http://technet.microsoft.com/en-us/forefront/default.aspx 当然,还有很多其他选择,我并不是说这是最好的选择(鉴于我对您的网络知之甚少,这很难做到),但防火墙组件基于 MS ISA Server,一个已经存在了大约十年并且非常强大的产品。 如果您只是想保护主机操作系统,而不是为您的网络运行边缘防火墙服务,Windows Server 2008 附带的默认防火墙默认启用,我发现,通常非常适合标准主机保护。它缺少完整 TMG 套件的一些功能,但通常足够好,我不会用第三方的东西替换它。事实上,如果您最终使用 Forefront TMG 系统,它将与内置的 Windows 防火墙/ICS 服务一起执行基本的数据包过滤/有状态数据包检查任务。 大多数主要的反病毒供应商的安全套件还包括防火墙功能。我在家里运行 AVG Suite,除了恶意软件和防病毒软件外,它还包括一个实时 SPI 防火墙。CA、卡巴斯基、迈克菲和赛门铁克都有类似的产品,但在购买用于服务器版操作系统时往往会变得昂贵。 zetavolt 2010-03-02T11:24:20+08:002010-03-02T11:24:20+08:00 我不同意 Windows 防火墙已经很成熟的说法。 我不会争辩它肯定有所改进,存在许多长期存在的问题。 [在微软的辩护中,许多通用问题,如过滤出站流量和一些真正令人发指的漏洞(如 LanMAN 攻击)已在一定程度上得到缓解] SYN-FIN 歧义之类的事情在某些方面仍然存在,这取决于几个因素。TTL 操作(更流行 - Firewalking)从未停止工作。并且随着品牌出现新的ICMPv6 路由器广告错误,还发现防火墙容易受到使用 ICMP 标头中类似不良数据的远程代码执行的攻击。 简而言之,我相信微软的防火墙可以提供严格的端点安全性,只要我能做到。 可能很难获得 ASA 或 Sonicwall,但我认为当它阻止聪明的攻击者时你会很高兴。 如果您坚持服务器上的防火墙,卡巴斯基提供了一个不错的端点解决方案,赛门铁克也是如此。如果您仍然绝对需要使用 Windows 防火墙,请确保尽可能多地禁用 Stateful 功能(尽管可能违反直觉),因为这是大多数 RCE 缺陷不可避免地出现的地方。
在不知道您的网络是如何设计和实施的情况下,提出有针对性的建议有点困难。话虽如此,Microsoft 堆栈在 Forefront Security Suite 中有一个非常完善的软件防火墙产品(以及一些新添加的客户端 AV 解决方案)。
此链接包含全套 Forefront 产品的详细信息 - http://technet.microsoft.com/en-us/forefront/default.aspx
当然,还有很多其他选择,我并不是说这是最好的选择(鉴于我对您的网络知之甚少,这很难做到),但防火墙组件基于 MS ISA Server,一个已经存在了大约十年并且非常强大的产品。
如果您只是想保护主机操作系统,而不是为您的网络运行边缘防火墙服务,Windows Server 2008 附带的默认防火墙默认启用,我发现,通常非常适合标准主机保护。它缺少完整 TMG 套件的一些功能,但通常足够好,我不会用第三方的东西替换它。事实上,如果您最终使用 Forefront TMG 系统,它将与内置的 Windows 防火墙/ICS 服务一起执行基本的数据包过滤/有状态数据包检查任务。
大多数主要的反病毒供应商的安全套件还包括防火墙功能。我在家里运行 AVG Suite,除了恶意软件和防病毒软件外,它还包括一个实时 SPI 防火墙。CA、卡巴斯基、迈克菲和赛门铁克都有类似的产品,但在购买用于服务器版操作系统时往往会变得昂贵。
我不同意 Windows 防火墙已经很成熟的说法。
我不会争辩它肯定有所改进,存在许多长期存在的问题。
[在微软的辩护中,许多通用问题,如过滤出站流量和一些真正令人发指的漏洞(如 LanMAN 攻击)已在一定程度上得到缓解]
SYN-FIN 歧义之类的事情在某些方面仍然存在,这取决于几个因素。TTL 操作(更流行 - Firewalking)从未停止工作。并且随着品牌出现新的ICMPv6 路由器广告错误,还发现防火墙容易受到使用 ICMP 标头中类似不良数据的远程代码执行的攻击。
简而言之,我相信微软的防火墙可以提供严格的端点安全性,只要我能做到。
可能很难获得 ASA 或 Sonicwall,但我认为当它阻止聪明的攻击者时你会很高兴。
如果您坚持服务器上的防火墙,卡巴斯基提供了一个不错的端点解决方案,赛门铁克也是如此。如果您仍然绝对需要使用 Windows 防火墙,请确保尽可能多地禁用 Stateful 功能(尽管可能违反直觉),因为这是大多数 RCE 缺陷不可避免地出现的地方。