题 我为什么要防火墙服务器？

TCP Wrappers可以称为基于主机的防火墙实现;你正在过滤网络流量。

对于攻击者在任意端口上进行出站连接的点，防火墙也会提供一种控制传出流量的方法;正确配置的防火墙以适合与系统相关的风险的方式管理入口和出口。

关于防火墙如何缓解任何TCP漏洞的问题，您不熟悉防火墙的工作原理。思科有一大堆可供下载的规则，用于识别以导致特定操作系统问题的方式构建的数据包。如果你抓住Snort并开始使用正确的规则集运行它，你也会收到关于这种事情的警报。当然，Linux iptables可以过滤掉恶意数据包。

基本上，防火墙是主动保护。你越远离主动，你最有可能发现自己处于一个问题的反应而不是防止问题。与专用防火墙一样，集中保护边界，使事情变得更容易管理，因为您有一个中心阻塞点而不是在任何地方复制规则。

但没有一件事必然是最终的解决方案。一个好的安全解决方案通常是多层的，你在边界有一个防火墙，在设备上有TCP包装器，也可能在内部路由器上有一些规则。您通常应该保护网络免受Internet的影响，并保护节点之间的互通。这种多层方法不像是在多张胶合板上钻一个洞，更像是装了一对门，所以入侵者有两个锁而不是一个;这被称为物理安全中的人员陷阱，并且大多数每个建筑物都有一个原因。 :)

（你可能想读“没有防火墙的生活“）

现在：如果没有补丁发布的遗留系统怎么样？那么在你需要的时候无法将补丁应用到N机器上，而同时你可以在网络中的较少节点（防火墙）中应用这些补丁呢？

辩论防火墙的存在或需求是没有意义的。真正重要的是您必须实施安全策略。为此，您将使用将实现它的任何工具，并帮助您管理，扩展和发展它。如果需要防火墙这样做，那很好。如果他们不需要也没关系。真正重要的是拥有可靠且可验证的安全策略实施。

你的大多数解释似乎都反驳了对防火墙的需求，但除了设置一个防火墙的时间不多外，我看不出有任何解决方案。

在这个词的严格意义上，很少有东西是“必需品”。安全性更多的是关于设置所有封锁。打入服务器所需的工作量越多意味着成功攻击的可能性就越小。你想让它比其他地方更容易打入你的机器。添加防火墙可以完成更多工作。

我认为关键用途是安全性的冗余。防火墙的另一个优点是你可以简单地删除尝试连接到任何端口而不是响应被拒绝的请求 - 这将使攻击者的nmapping更加不方便。

根据您的问题的实际注意事项，对我来说最重要的是您可以将SSH，ICMP和其他内部服务锁定到本地子网以及限制传入连接以帮助缓解DOS攻击。

“安全点不是为了在成功攻击后保护自己 - 已经证明这是不可能的 - 这是为了让攻击者首先出局。”

我不同意。限制损害赔偿同样重要。 （在这个理想下为什么哈希密码？或者将你的数据库软件粘贴在与你的网络应用程序不同的服务器上？）我认为古老的说法“不要把所有鸡蛋都放在一个篮子里”在这里适用。

Should I firewall my server? 好问题。似乎没有必要在网络堆栈顶部打一个防火墙，它已经拒绝了对除了少数合法开放的端口之外的所有端口的连接尝试。如果操作系统中存在允许恶意制作的数据包破坏/利用主机的漏洞，则会出现防火墙 在同一台主机上运行 防止漏洞利用？好， 也许 ...

这可能是在每台主机上运行防火墙的最有力理由：防火墙 威力 防止网络堆栈漏洞被利用。这是一个足够强大的理由吗？我不知道，但我想有人可以说，“没有人因安装防火墙而被解雇。”

在服务器上运行防火墙的另一个原因是要解除这两个强烈相关的问题：

1. 从哪里，到哪个端口，我接受连接？
2. 哪些服务正在运行并正在侦听连接？

如果没有防火墙，运行的服务集（以及tcpwrappers等的配置）将完全确定服务器将打开的端口集，以及将从谁接受连接。基于主机的防火墙为管理员提供了额外的灵活性，可以在更广泛地提供新服务之前以受控方式安装和测试新服务。如果不需要这种灵活性，那么在服务器上安装防火墙的理由就更少了。

最后一点，我总是添加一个未在安全检查表中提及的项目，这是一个基于主机的入侵检测系统（HIDS），例如： 助手 要么 萨温节。一个好的HIDS使入侵者很难对系统进行不必要的更改并且仍然无法检测到。我相信所有的服务器都应该运行某种HIDS。

防火墙是一种工具。它本身并不能保证安全，但它可以作为安全网络中的一层做出贡献。这并不意味着你需要一个，我当然担心那些盲目地说“我必须得到防火墙”而不理解为什么他们这么想，谁不理解防火墙的优点和缺点的人。

我们可以说有很多工具我们不需要......是否可以运行没有防病毒软件的Windows计算机？是的，它是...但是拥有一个很好的保险层。

我会对防火墙说同样的话 - 无论你能说些什么，它们都是一个很好的保险级别。它们不能替代修补，锁定机器，禁用不使用的服务，记录等等......但它们可以是一个有用的补充。

我还建议这个等式会有所改变，具体取决于你是否正在谈论将防火墙放在一组精心照料的服务器前面，就像你看起来那样，或者是一个混合了工作站和服务器的典型局域网尽管IT团队付出了最大的努力和愿望，其中一些可能会运行一些非常毛茸茸的东西。

还需要考虑的是创建一个明显强化的目标的好处。可见的安全性，无论是明亮的灯光，重型锁具还是建筑物上的明显警报箱;或者企业IP地址范围内的明显防火墙可以阻止偶然的入侵者 - 他们会去寻找更容易的猎物。这不会阻止坚定的入侵者，他们知道你有他们想要的信息，并决心得到它，但是阻止偶然的入侵者仍然是值得的 - 特别是如果你知道任何入侵者的探测器持续超越威慑需要特别认真对待。

所有重大问题。但是 - 我很惊讶PERFORMANCE没有被提到桌面。

对于高度（以CPU为单位）使用的Web前端，本地防火墙确实会降低性能，周期。尝试负载测试，看看。我看到了这么多次。关闭防火墙可将性能（每秒请求数）提高70％或更多。

必须考虑这种权衡。

防火墙是额外的保护。它可以防范的三个特殊情况是网络堆栈攻击（即，您的服务器操作系统对从未达到端口级别的特制数据包存在漏洞），成功入侵与“电话回家”（或发送垃圾邮件等） ），或者打开服务器端口的成功入侵，或者在打开端口之前监视端口敲门序列的可检测性较低。当然，最后两个与减轻入侵的损害而不是阻止它有关，但这并不意味着它没用。请记住，安全不是一个全有或全无的主张;一个采用分层方法，腰带和吊带，以达到足以满足您需求的安全级别。

无论如何我都不是安全专家，但听起来好像你是防火墙的。您似乎已经采用了防火墙的一些核心功能，并使其成为您的策略和过程的一部分。不，如果您要自己做与防火墙相同的工作，则不需要防火墙。至于我自己，我宁愿尽我所能保持安全，但防火墙看着我的肩膀，但在某些时候你可以做防火墙正在做的一切，它开始变得无关紧要。

小型设置当然不需要防火墙。如果您有一台或两台服务器，则可以维护软件防火墙。话虽如此，我们不会在没有专用防火墙的情况下运行，并且有几个原因可以解释为什么我保持这种理念：

角色分离

服务器用于应用程序。防火墙用于数据包检查，过滤和策略。 Web服务器应该担心提供网页，就是这样。将两个角色放在一个设备中就像要求您的会计师也成为您的保安。

软件是一个移动目标

主机上的软件总是在变化。应用程序可以创建自己的防火墙例外操作系统已更新并打补丁。服务器是一个高流量的“管理”区域，您的防火墙策略/安全策略对于安全性而言通常比应用程序配置更重要。在Windows环境中，假设有人在某些组策略级别出错并在桌面PC上关闭Windows防火墙，并且没有意识到它将应用于服务器。只需点击即可让您大开眼界。

只谈到更新，防火墙固件更新通常每年发布一次或两次，而操作系统和服务更新是一个不变的流。

可重用的服务/策略/规则，可管理性

如果我设置一个名为“Web服务器”的服务/策略（比如TCP 80和TCP 443），并将其应用到防火墙级别的“Web服务器组”，那就更有效了（一些配置更改）并且比在10个盒子上设置防火墙服务以及打开2个端口x 10次更容易出现人为错误。当该政策需要改变时，它是1变化而不是10。

我仍然可以在攻击期间或在妥协之后管理防火墙

假设我的基于主机的防火墙+应用程序服务器受到攻击并且CPU不在图表中。为了开始弄清楚发生了什么，我受到了负担，而不是攻击者甚至进入并看着它。

实际体验 - 我曾经搞过防火墙规则（将端口留给ANY而不是特定的端口，服务器有一个易受攻击的服务），并且攻击者实际上有一个实时的远程桌面会话。每次我开始进行会话时，攻击者都会杀死/断开我的会话。如果不能从一个独立的防火墙设备关闭该攻击，那可能会更糟糕。

独立监测

专用防火墙单元的登录通常远远优于基于主机的软件防火墙。有些足够好，甚至不需要外部SNMP / NetFlow监控软件来获得准确的图像。

IPv4保护

如果一个用于Web而一个用于邮件，则没有理由拥有两个IP地址。将服务保存在单独的盒子上，并通过专门设计的设备适当地路由端口。