有這樣一個問題
我不知道該為Windows服務器選擇什麼防火牆
事實上
人們經常就這個問題向我咨詢
然而我自己也沒能找到最好的答案
很多次
即便服務器處於硬件防火牆保護之內時
我仍然喜歡在服務器自身上安裝額外的軟件防護
因為有時候
我的服務器可能位於比較偏遠的地方
沒有硬件級防火牆來保護它們
這時我就得完全依賴於在服務器上安裝軟件來保證它們的安全
聽起來
這似乎比較簡單
然而事實上
我一直在用足夠的耐心等待著有一天能夠找到完美的Windows防火牆
這樣我就可以不用跟那些向我咨詢的人解釋為什麼很多時候理想的選擇是部署了Iptables的Linux系統
但是我想我的等待是徒勞的
很多時候我都以為我終於找到了最好的Windows防火牆解決方案
然而那只是我又一次失望的開始
TCP/IP過濾器的速度的確非常快
但它的優點也僅局限於此
因為當你使用TCP/IP過濾器時
你肯定還需要添加其他層的保護
IPSec是不錯的
當你挑選出適用的規則
過濾條款後
你可以通過圖形界面或者命令行界面來設置
但是無論是圖形界面還是命令行界面都容易把人搞糊塗
最後
你終於配置完成
並成功讓它運行起來——這時
你將會發現網絡變慢了
因為IPSec過濾
包
的時候
它本身就能讓網絡變慢
%~
%
在這裡順便再說說其他令我憎恨IPSec的事情
它是以Windows事件的方式來記錄日志的——當你想要觀看你的防火牆日志的時候
你需要點擊那些事件日志
然後找出你想要的東西——這已經足夠讓我放棄使用它了
Internet Connection Firewall(ICF)在Windows Server
中稍微好一點
它有不錯的性能
並且在規則方面有一定彈性
當Windows Server
SP
來到以後
新的Windows防火牆將變得更好
Windows防火牆是個大的進步
而且它具備群組策略
不幸的是Windows防火牆不允許你針對發出端設置任何規則
此外
它還需要開啟遠程管理和通訊服務——這些都是我平時不需要的
可能有人會問RAS怎麼樣呢?你可能注意到
它具備包過濾功能
並且事實上它還為其他工具提供了不錯的API接口以便對過濾器進行配置
但是
這些過濾器無法控制底層協議
比如ICMP
所以實際上它沒多大用處
還有許多個人版防火牆可以非常好的運行於桌面系統
但是它們都無法達到服務器用戶的需要
雖然在它們當中
某些產品明顯超出同類產品的水平
但是所有個人版防火牆的共同的問題是
簡單的記錄工具
緩慢的執行效率
而最糟糕的是
大多數個人版防火牆在數據流通量非常大的時候都有可能造成系統藍屏
個人版防火牆的這些問題源自它們與Windows的結合性上
它們通過多種途徑來截取信息包
而這也造成了它們的一些缺陷
某些個人版防火牆產品涉及到攔截系統內核信息
或改寫硬件驅動的問題
由於這種工作方式
你最好祈禱它們的產品是穩定的
否則將經常看到藍屏現象
你瞧
當流通量比較大的時候我們的確經常看到系統藍屏
另一個問題是
由於這些個人版防火牆的工作模式
所以它們通常會發生排斥
所以不要嘗試同時在PC裡安裝兩套個人版防火牆
服務器也是如此
否則
你可能會遇到一些問題
個人防火牆還不適合無人值守的服務器
因為大多數個人防火牆在攔截包的時候都會彈出一個對話框
讓用戶選擇如何處理/操作
一些防火牆我還發現無法通過系統托盤圖標順利訪問終端業務
我最後一次以為已經找到了Windows防火牆的最好解決方案是在我嘗試給Windows服務器安裝ISA Server
的時候
讓我驚奇的是
它運行得非常好
它的功能非常完善
在防護范圍方面跟個人版差不多
但它運行更穩定
我發現它只有一個問題
ISA Server
的許可授權的價格比服務器本身還要貴
這使得它很難被用戶接受
我現在該怎麼辦?我覺得我如果自己花錢購買一個小型硬件級防火牆來保護我的服務器——僅僅因為我有時要離開它一小段時間——那實在是非常瘋狂的事情
不是所有的希望都破滅了
至少
微軟正在努力打造一個新的過濾平台WFP
在不久即將來到的
長角(Longhorn)
系統上
該版本的實際發布日期可能是在未來的一
兩年裡
WFP是一個集成包過濾技術於操作系統之內的解決方案
未來
第三方廠商的防火牆很可能只是簡單的接入到WFP體系中
並提供配置規則的功能而已
WFP計劃支持新TCP/IP協議的多個層
並且可以在通信流被解析之前就進行過濾
WFP甚至還支持IPv
WFP聽起來不錯
但是它仍然無法在今天就幫助我們
它離我們還有些距離
並且
它是否有效並穩定還需要我們在實際使用中觀察
你可能認為答案過於簡單了
當然不
這些仍然讓我們感到適當的驚訝
目前
Windows服務器防火牆完美的解決方案是不存在的
From:http://tw.wingwit.com/Article/os/xtgl/201311/8947.html
