關閉專用網路上的 Windows 防火牆是否安全？

Question 1

儘管有些人不同意，但 Windows 防火牆並沒有提供太多保護。如果您位於 ISP 的防火牆/路由器後面，則不需要它。一般來說，軟體防火牆帶來的麻煩多於幫助。

Answer

儘管有些人不同意，但 Windows 防火牆並沒有提供太多保護。如果您位於 ISP 的防火牆/路由器後面，則不需要它。一般來說，軟體防火牆帶來的麻煩多於幫助。

Question 2

在專用網路上關閉 Windows 防火牆是否安全？

顯然，這取決於情況。什麼專用網路以及您認為「安全」的是什麼？

我分三部分來回答：

如果您要將 Windows 防火牆替換為任何優質產品，那麼在其他產品運作後關閉 Windows 防火牆當然是安全的。
- 當然，這是理想的解決方案。
如果您談論的是專用網路上沒有軟體防火牆是否安全，那麼您需要考慮一下。
- 由於 Windows「專用網絡」是您告訴 Windows 的「專用」網絡，那麼您告訴 Windows 哪些網絡是專用的？
  - 它們的安全性如何？
  - 你怎麼知道它們有多安全？
  - 為什麼您認為他們目前的水平對於那些符合資格的人來說是「安全的」？
  - 如果其中任何一個是“因為網路上的其他人/機器沒有做任何風險太大的事情”，那麼將他們的網路標記為“不安全”。具有零日漏洞的彈出廣告可以攻擊任何站點上運行任何瀏覽器的任何計算機，甚至是您信任的站點，因為信任它們與信任它們的廣告不同。
  - 如果您認為它們是安全的，因為它們擁有重要的網路安全基礎設施，包括消費級以上的防火牆、IDS/IPS 設備、內聯反惡意軟體/防毒軟體等，那麼您就信任他們的網路而不是自己的網路。這可能是有效的，但需要仔細考慮 - 零日漏洞可以攻擊任何人 - KRACK、Heartbleed、Meltdown/Spectre 等。
您個人是否在每個「專用」網路上使用自己的硬體防火牆？如果是這樣，是的，我通常會說，如果 Windows 防火牆位於您的硬體和所有其他硬體之間，那麼您的硬體防火牆將使 Windows 防火牆變得多餘。

TL;DR：安全性在於層

安全性與層有關。每一層都可能容易受到攻擊；坦白說，從瀏覽器插件到 CPU 本身，每一層在某些時間點都容易受到攻擊。擁有越來越多的層可以讓您更有可能在同一時間視窗內並非每個層都容易受到攻擊。

例如，一個普通家庭的層次將包括：

來自 ISP 的 NAT
消費級“路由器/防火牆”
- 內部有NAT
- 使用預設的“admin”密碼，沒有韌體補丁，也沒有人監視其毫無價值的日誌。
使用 AES 的 WPA2-Personal Wifi
- 使用 ISP 提供的預設密碼
- 從來沒有任何補丁
本地區域網路
你的電腦
- 可能有軟體防火牆來限制傳入訪問
- 哪些可能有防毒軟體
- 其中可能有其他反惡意軟體
- 誰的日誌可能沒人監控

更安全的系統將具有： - 來自 ISP 的 NAT - 中線到高級防火牆 - 最近修補 - 其日誌受到監控和/或提供警報 - IPS 模式下的 IDS/IPS - 最近修補 - 使用最新簽名 - 內聯防病毒網絡等級的/反惡意軟體- 具有最新簽署- 採用WPA2-Personal 和AES 的Wifi - 使用長隨機密碼- 最近修補- 監控其日誌以查看正在連接的設備- 啟用客戶端隔離- 本地LAN - 使用VLAN 隔離流量- 您的設備（如上所述）

Answer

在專用網路上關閉 Windows 防火牆是否安全？

顯然，這取決於情況。什麼專用網路以及您認為「安全」的是什麼？

我分三部分來回答：

如果您要將 Windows 防火牆替換為任何優質產品，那麼在其他產品運作後關閉 Windows 防火牆當然是安全的。
- 當然，這是理想的解決方案。
如果您談論的是專用網路上沒有軟體防火牆是否安全，那麼您需要考慮一下。
- 由於 Windows「專用網絡」是您告訴 Windows 的「專用」網絡，那麼您告訴 Windows 哪些網絡是專用的？
  - 它們的安全性如何？
  - 你怎麼知道它們有多安全？
  - 為什麼您認為他們目前的水平對於那些符合資格的人來說是「安全的」？
  - 如果其中任何一個是“因為網路上的其他人/機器沒有做任何風險太大的事情”，那麼將他們的網路標記為“不安全”。具有零日漏洞的彈出廣告可以攻擊任何站點上運行任何瀏覽器的任何計算機，甚至是您信任的站點，因為信任它們與信任它們的廣告不同。
  - 如果您認為它們是安全的，因為它們擁有重要的網路安全基礎設施，包括消費級以上的防火牆、IDS/IPS 設備、內聯反惡意軟體/防毒軟體等，那麼您就信任他們的網路而不是自己的網路。這可能是有效的，但需要仔細考慮 - 零日漏洞可以攻擊任何人 - KRACK、Heartbleed、Meltdown/Spectre 等。
您個人是否在每個「專用」網路上使用自己的硬體防火牆？如果是這樣，是的，我通常會說，如果 Windows 防火牆位於您的硬體和所有其他硬體之間，那麼您的硬體防火牆將使 Windows 防火牆變得多餘。

TL;DR：安全性在於層

安全性與層有關。每一層都可能容易受到攻擊；坦白說，從瀏覽器插件到 CPU 本身，每一層在某些時間點都容易受到攻擊。擁有越來越多的層可以讓您更有可能在同一時間視窗內並非每個層都容易受到攻擊。

例如，一個普通家庭的層次將包括：

來自 ISP 的 NAT
消費級“路由器/防火牆”
- 內部有NAT
- 使用預設的“admin”密碼，沒有韌體補丁，也沒有人監視其毫無價值的日誌。
使用 AES 的 WPA2-Personal Wifi
- 使用 ISP 提供的預設密碼
- 從來沒有任何補丁
本地區域網路
你的電腦
- 可能有軟體防火牆來限制傳入訪問
- 哪些可能有防毒軟體
- 其中可能有其他反惡意軟體
- 誰的日誌可能沒人監控

更安全的系統將具有： - 來自 ISP 的 NAT - 中線到高級防火牆 - 最近修補 - 其日誌受到監控和/或提供警報 - IPS 模式下的 IDS/IPS - 最近修補 - 使用最新簽名 - 內聯防病毒網絡等級的/反惡意軟體- 具有最新簽署- 採用WPA2-Personal 和AES 的Wifi - 使用長隨機密碼- 最近修補- 監控其日誌以查看正在連接的設備- 啟用客戶端隔離- 本地LAN - 使用VLAN 隔離流量- 您的設備（如上所述）

Question 3

我的理解是，如果您知道您的專用網路是安全的，那麼沒什麼大不了的。然而，您可能想在連接到朋友和家人的私人網路時打開它，因為不知道什麼可能會對他們造成嚴重破壞。

Answer

我的理解是，如果您知道您的專用網路是安全的，那麼沒什麼大不了的。然而，您可能想在連接到朋友和家人的私人網路時打開它，因為不知道什麼可能會對他們造成嚴重破壞。

關閉專用網路上的 Windows 防火牆是否安全？

答案1

答案2

TL;DR：安全性在於層

答案3

相關內容