Недавно я сменил работу, и мне установили новую рабочую станцию. На всех предыдущих местах, где я работал, на каждой рабочей станции был установлен какой-то локальный брандмауэр, но здесь мне сказали не активировать его, потому что в этом нет необходимости, поскольку мы уже находимся за аппаратным брандмауэром.
Мне это кажется немного наивным, но я не могу это подчеркнуть. Я всегда считал, что локальный брандмауэр — это хорошая практика, т. е. если что-то проскочит через аппаратный брандмауэр, то может быть небольшой шанс, что другие компьютеры в локальной сети заблокируют внутреннюю угрозу.
Мы получили бесплатный доступ в Интернет и установили антивирусную программу.
решение1
На практике это не имеет значения. Я держу брандмауэр per workstation включенным на всех системах, потому что он дает немного больше безопасности (действительно небольшую). Все соответствующие порты открыты политикой grroup, поэтому ping и т. д. работает. Это включает в себя общий доступ к файлам для доступа администратора "c$".
В конечном итоге, я думаю, что разница действительно незначительна, если только у вас нет централизованной системы управления, такой как TrendMicro OfficeScan (где вы можете включить «режим вспышки», и локальная система заблокирует гораздо больше, потому что что-то предположительно выходит из-под контроля).
решение2
Самые большие угрозы внутренние, а не внешние. Преступник, пытающийся взломать/прорваться через корпоративный брандмауэр, имеет лишь смутное представление о том, что находится по ту сторону. Недовольный сотрудник, вероятно, знает гораздо больше и уже находится внутри. Поддерживайте программный брандмауэр включенным.