Sollten Windows-Webserver eine Hardware-Firewall haben?

Gibt es zwingende Gründe, einen dedizierten Server (in meinem Fall Windows 2008 R2) mit einer Hardware-Firewall zu schützen? Welche Sicherheitsbedenken würde eine Hardware-Firewall besser abdecken als die integrierte Software-Firwall?

Vielen Dank,

Adrian

Bearbeiten: Zur Verdeutlichung: Ich beziehe mich auf einen Server, auf dem eine SaaS-Website ausgeführt wird, die von einem Micro-ISV ausgeführt wird und die regelmäßig von Clients verwendet wird. Ich beziehe mich nicht auf ein Geschäft mit mehreren Millionen.

2. Bearbeiten :: Die Serverlast ist in meinem Fall kein Problem. Der Server läuft niemals mit mehr als 20% CPU oder mehr als 50% Speicherlast. Es gibt auch keine zentralisierte Verwaltung - es gibt nur einen Windows-Server.

Wenn Sie nur einen einzigen Server haben, ist es meiner Meinung nach in Ordnung, sich auf die integrierte Software-Firewall zu verlassen, wenn Sie wissen, was Sie tun .

Wenn Sie jedoch über 2, 3, 4 ... 10 Server verfügen, ist die Verwaltung ziemlich komplex, und Sie sollten eine Hardware-Firewall verwenden, die Sie stattdessen an einem Ort verwalten können.

(Sie benötigen jedoch weiterhin Software- und Hardware-Firewalls für die gesamte Theorie der "Tiefenverteidigung", sodass Sie auf keinen Fall die Software-Firewalls auf jedem Server ausführen können. Nach meiner Erfahrung Windows Server 2008 und höher haben ausgezeichnete Software-Firewalls und wir haben sie 2 Jahre lang exklusiv für Stack Overflow verwendet.)

Offensichtlich ist "Professional-Grade" kein offizieller Begriff mit bestimmten Eigenschaften, aber wenn wir davon ausgehen, dass dies im Allgemeinen die Best-Case-Konfiguration bedeutet, wird meiner Erfahrung nach eine Hardware-Firewall bevorzugt. Während Hardware- und Software-Firewalls theoretisch dieselben Funktionen ausführen können, können Sie mit einer Hardware-Firewall diese Arbeit auf ein dediziertes Gerät auslagern. "Professional" -Firewalls verfügen auch über Funktionen, die die meisten Software-Firewalls nicht bieten, und ermöglichen eine wesentlich erweiterte Verwaltung. Außerdem umfasst jede "professionelle" Konfiguration im Allgemeinen eine starke Herstellerunterstützung, die für Hardware-Firewalls im Allgemeinen überlegen ist.

Bearbeitet, um hinzuzufügen: Insbesondere läuft es auf dedizierter Hardware, sodass die Leistung Ihrer Boxen nicht beeinträchtigt wird. Es wird an der Grenze Ihres Netzwerks festgelegt, sodass Sie den Ansatz "Tresortür" haben, den @jowqwerty notiert hat. Es bietet eine zentralisierte Verwaltung von Firewall-Regeln, NAT-Übersetzungen usw. für mehrere Server. Möglicherweise sind erweiterte NAT / PAT-Konfigurationen oder andere Optionen als bei einer typischen Software-Firewall zulässig. In der Regel wird der professionelle Anbieter stärker unterstützt.

"Hardware" -Firewalls sind nur dedizierte Geräte, auf denen Firewall-Software ausgeführt wird. Sie sind nicht nur in Hardware implementiert. Die meisten Hardware-Firewalls sind jedoch gründlich gegen Script-Kiddies, Malware und verschiedene Exploits geschützt, die auf einem vollständigen Windows-PC vorhanden sein können. Für hochwertige Websites würde ich niemals darauf vertrauen, dass Windows Software alleine sicher genug ist.

Wir haben keine Firewall, die einen unserer Server schützt. Hier ist der Grund:

Hostbasierte Sicherheit besagt, dass jeder offene Port eine potenzielle Sicherheitslücke darstellt (einschließlich, aber nicht beschränkt auf die Ports, die Sie absichtlich der Öffentlichkeit zur Verfügung stellen). Wenn Ihre Server einfach keine offenen Ports haben, sondern diejenigen, die Sie der Öffentlichkeit zugänglich machen möchten, ist dies fast der gleiche Schutz, den Ihnen eine Firewall bietet. Der einzige zusätzliche Vorteil einer Firewall besteht darin, dass Sie leicht steuern können, welche IP-Adressen im Internet auf die ansonsten öffentlich verfügbaren Ports zugreifen dürfen (oder nicht). In vielen Servern ist diese Funktionalität jedoch trotzdem integriert. Ein weiterer Vorteil besteht darin, dass eine Hardware-Firewall so konfiguriert werden kann, dass für viele Computer nur eine öffentliche IP-Adresse verwendet wird - was heutzutage meistens der Fall ist.

Wenn Ports geöffnet sind und Server ausgeführt werden, die Sie nicht öffentlich verfügbar machen möchten, weil Sie wissen, dass sie irgendwie anfällig sind (und daher den Schutz einer separaten Firewall benötigen), sagt die Sicherheitsdoktrin, dass dies wenig Schutz gegen Angreifer ist. weil es sowieso mehrere Möglichkeiten gibt, die Firewall zu umgehen. Angenommen, Sie haben einen SSH- oder HTTP-Server hinter einer Firewall und mehrere anfällige Windows-Computer im selben Netzwerk. Sollte jemand in den Server eindringen, hat er Zugriff auf das gesamte interne Netzwerk. Sollte jemand einen Virus herunterladen, könnte dieser Computer Ihren Server aus dem Netzwerk heraus angreifen.

Verwenden Sie besser die Firewall-Software auf dem Server und kümmern Sie sich nicht um die "Hardware" -Firewall. Das heißt, wenn Sie zunächst einmal eine Firewall benötigen. Sichern Sie Ihren Webserver so, dass nur IIS ausgeführt wird und nur IIS anfällig für Angriffe ist. Welches wäre wahr, ob Sie eine Firewall haben oder nicht.

Bearbeitet, um hinzuzufügen:

Ich wollte ursprünglich auch darauf hinweisen, dass eine Hardware-Firewall dem Netzwerk auch einen einzelnen Fehlerpunkt hinzufügt. Dieses Problem ist auch einer der Hauptgründe, warum wir keine Firewall haben, die unsere Server schützt. Während die Verwaltung zentralisiert wird, werden auch durch die Verwaltung verursachte Ausfälle zentralisiert. Es ist auch erwähnenswert, dass auf allen Servern Debian ausgeführt wird und Schwachstellen im Kernel und in den Bibliotheken in angemessener Zeit behoben werden.

Während Hardware - Firewalls sorgen dafür , dass die Löcher in einer Reihe aufstellen nicht, sind Angreifer meist daran interessiert sind , wo die Löcher tun Zeile nach oben: wie in den Häfen , die speziell offen in der Firewall befinden. Wenn es eine Sicherheitslücke in einem Service ist , dass Sie zur Verfügung stellen, das ist , wo sie angreifen. Und kommen Sie durch Ihre Firewall (s). Und greifen Sie den Rest des Netzwerks an und suchen Sie nach den einfacheren Sicherheitslücken, die die Firewall angeblich schützen soll.

Zu Ihrer Information, wir haben seit dem Wechsel zu Debian und der Verwendung der Debsecan-Software keine Server mehr ausgenutzt, abgesehen von einigen Webmail-Konten, die Opfer von Phishing-Angriffen wurden.

Es sollte sich hinter einer Firewall befinden, jedoch kein großer Unterschied zwischen welchem ​​Typ. Eine Hardware-Firewall ist nur ein proprietäres Betriebssystem, normalerweise Linux, das in ein Gehäuse integriert ist, und enthält eine Supportvereinbarung, die Unterstützung bietet, wenn Sie Fragen zum Produkt haben. Alle tun das Gleiche und wenn Preis und / oder Support kein Problem darstellen, funktioniert beides einwandfrei.

Sicherheit kommt in Schichten, wie Zwiebeln. Sie möchten sowohl Perimeterschutz als auch Hostschutz und alles, was Sie zwischen und innerhalb des Hostschutzes (Anwendung usw.) erhalten können.

Hardware ist nicht so, wie die meisten Antworten heute wirklich anders anzeigen, sondern nur Software in Appliance-Form. Ich würde nicht zögern, ein Microsoft TMG auf die Perimeter-Verteidigung zu setzen und dann die eingebauten Firewalls für die Host-Verteidigung zu verwenden, aber im Allgemeinen gibt es ein zusätzliches Sicherheitsgefühl (und einen erhöhten Wartungsaufwand), indem verschiedene Firewall-Systeme wie eine Cisco-Appliance und / oder gemischt werden oder eine Linux-basierte Perimeter-Firewall.

Um pedantisch zu sein: Es sollte beachtet werden, dass einige kommerzielle High-End-Firewall-Appliances über speziell entwickelte ASIC-Chips verfügen, die einen Teil der Arbeit in dediziertem Silizium und nicht auf der Haupt-CPU erledigen. Solche Bestien werden im Allgemeinen nicht benötigt, es sei denn, Sie haben es mit großem Verkehr und großer Krypto zu tun. Wie andere angemerkt haben, bedeutet "Hardware-Firewall" im gelegentlichen Gebrauch ein Gerät, auf dem ein minimiertes, gehärtetes Betriebssystem und eine Firewall-Software mit einem Supportvertrag des Anbieters ausgeführt werden.

Zur ursprünglichen Frage: Alle komplexen Systeme weisen Mängel auf. Um das Risiko eines Exploits zu verringern, bauen wir Schichtsysteme, damit die Löcher nicht ausgerichtet werden.

Anlage A: "Das Zielgebiet ist nur zwei Meter breit. Es ist eine kleine thermische Auslassöffnung direkt unter der Hauptöffnung. Der Schacht führt direkt zum Reaktorsystem."

Ich weiß, dass ich reinkomme, nachdem eine Antwort akzeptiert wurde, aber ich gehe davon aus, dass Sie auch eine Hardware-Firewall verwenden. Selbst in Ihrer gegebenen Situation würden Ihnen die Low-End-Hardware-Firewalls (<1000 US-Dollar) gut tun. Tiefenverteidigung ist ein Teil davon. Ein Teil davon ist jedoch, dass die Hardware-Firewalls über spezielle Chips verfügen, um die Netzwerklast zu bewältigen. Das heißt, sie bewältigen den Verkehr besser. Indem Sie der Firewall erlauben, den ganzen Unsinn zu verarbeiten (und wenn Sie jemals ein IDS auf den Rand setzen, werden Sie sehen, was ich unter Unsinn verstehe), entladen Sie diesen von Ihren Servern, damit sie besser funktionieren. Ihr Speicher und ihre CPU werden nicht gebunden, um ungültigen Datenverkehr zu verwerfen. Die Hardware-Firewall erledigt das für sie. Wenn Sie etwas mehr bezahlen können, werden viele Hardware-Firewalls mit integrierter IDS / IPS-Funktionalität geliefert.

1. Anstatt als Systemadministrator zu denken und die Kosten dafür zu vergleichen, denken Sie als Unternehmer darüber nach und fragen Sie: "Was kostet es, keine Hardware-Firewall zu haben?" Was würde mit Ihrem Unternehmen passieren, wenn Ihre Server für X Stunden offline gehen würden? oder Daten wurden gestohlen? Wie viele Kunden würden Sie verlieren? Was würde mit Ihrem Geschäftsruf passieren?

2. Sind Sie in Ihrem Büro oder in einem Rechenzentrum untergebracht? Die meisten Rechenzentren bieten einen Hardware-Firewall-Dienst mit Redundanz / Failover / Verwaltung gegen eine monatliche Gebühr an. Oder besorgen Sie sich Ihre eigene Firewall. Vor einigen Jahren haben wir ein kleines Cisco Pix für etwa 600 US-Dollar gekauft und es war großartig.