Windows Server 2008 R2 достаточно безопасен для Интернета без стороннего (аппаратного) брандмауэра

Question 1

Помните, что вы можете фильтровать входящие порты так, чтобы они отвечали только определенному IP-адресу — например, вы можете фильтровать входящий RDP-трафик так, чтобы он отвечал только IP-адресу вашего офиса.

Это не идеальная ситуация, и я бы не стал ставить ничего действительно чувствительного вроде этого — лучше маршрутизатор + брандмауэр + серверный брандмауэр. Однако мне приходилось управлять такими системами, и я не видел никаких реальных проблем. Как ни странно, я видел меньше попыток атак на них, чем на клиентах с линиями DSL на уровне жилых домов.

Answer

Помните, что вы можете фильтровать входящие порты так, чтобы они отвечали только определенному IP-адресу — например, вы можете фильтровать входящий RDP-трафик так, чтобы он отвечал только IP-адресу вашего офиса.

Это не идеальная ситуация, и я бы не стал ставить ничего действительно чувствительного вроде этого — лучше маршрутизатор + брандмауэр + серверный брандмауэр. Однако мне приходилось управлять такими системами, и я не видел никаких реальных проблем. Как ни странно, я видел меньше попыток атак на них, чем на клиентах с линиями DSL на уровне жилых домов.

Question 2

Вы можете использовать новый мастер настройки безопасности Microsoft, который создаст политику безопасности, которую можно применить на сервере.

Мастер настройки безопасности (SCW) проведет вас через процесс создания, редактирования, применения или отката политики безопасности. Он предоставляет простой способ создания или изменения политики безопасности для вашего сервера на основе его роли. Затем вы можете использовать групповую политику для применения политики безопасности к нескольким целевым серверам, которые выполняют одну и ту же роль. Вы также можете использовать SCW для отката политики к ее предыдущей конфигурации в целях восстановления. С помощью SCW вы можете сравнить параметры безопасности сервера с желаемой политикой безопасности, чтобы проверить уязвимые конфигурации в системе.

Более подробную информацию смотрите здесь: http://technet.microsoft.com/en-us/library/cc771492(WS.10).aspx

Answer

Вы можете использовать новый мастер настройки безопасности Microsoft, который создаст политику безопасности, которую можно применить на сервере.

Мастер настройки безопасности (SCW) проведет вас через процесс создания, редактирования, применения или отката политики безопасности. Он предоставляет простой способ создания или изменения политики безопасности для вашего сервера на основе его роли. Затем вы можете использовать групповую политику для применения политики безопасности к нескольким целевым серверам, которые выполняют одну и ту же роль. Вы также можете использовать SCW для отката политики к ее предыдущей конфигурации в целях восстановления. С помощью SCW вы можете сравнить параметры безопасности сервера с желаемой политикой безопасности, чтобы проверить уязвимые конфигурации в системе.

Более подробную информацию смотрите здесь: http://technet.microsoft.com/en-us/library/cc771492(WS.10).aspx

Question 3

В целом - да. SQL Server сложнее, так как это проверенный вектор атаки, поэтому вы получаете тонны неудачных попыток входа. Либо полностью защитите его, либо переместите порт.

Я бы:

Используйте брандмауэр, чтобы заблокировать как можно больше входящих портов, оставив открытыми только те, которые мне нужны для работы — IIS, RDP и PPTP.
PPTP на сервер обычно для проведения работ по техническому обслуживанию
RDP для экстренной ситуации

Answer

В целом - да. SQL Server сложнее, так как это проверенный вектор атаки, поэтому вы получаете тонны неудачных попыток входа. Либо полностью защитите его, либо переместите порт.

Я бы:

Используйте брандмауэр, чтобы заблокировать как можно больше входящих портов, оставив открытыми только те, которые мне нужны для работы — IIS, RDP и PPTP.
PPTP на сервер обычно для проведения работ по техническому обслуживанию
RDP для экстренной ситуации

Question 4

Нет. Я бы никогда не выложил W2K-сервер напрямую в интернет. У IIS много проблем с безопасностью, да и у Windows всегда есть.

Это также справедливо для большинства систем Linux. Только (Open)BSD лучше, когда дело доходит до хорошей ОС в отношении дыр в безопасности.

На работе мы используем большой WAF (брандмауэр веб-приложений) перед нашими веб-серверами. Этот WAF анализирует входящий трафик и блокирует необычные или вредоносные входящие запросы. WAF узнает о дырах в безопасности за несколько дней до того, как CERT становится публичным.

Answer

Нет. Я бы никогда не выложил W2K-сервер напрямую в интернет. У IIS много проблем с безопасностью, да и у Windows всегда есть.

Это также справедливо для большинства систем Linux. Только (Open)BSD лучше, когда дело доходит до хорошей ОС в отношении дыр в безопасности.

На работе мы используем большой WAF (брандмауэр веб-приложений) перед нашими веб-серверами. Этот WAF анализирует входящий трафик и блокирует необычные или вредоносные входящие запросы. WAF узнает о дырах в безопасности за несколько дней до того, как CERT становится публичным.

Windows Server 2008 R2 достаточно безопасен для Интернета без стороннего (аппаратного) брандмауэра

решение1

решение2

решение3

решение4

Связанный контент