Брандмауэр Windows: лишняя нагрузка или дополнительная защита?
При администрировании серверов я предпочитаю использовать аппаратные брандмауэры для фильтрации трафика на уровне всей сети. Программными брандмауэрами, в частности, Брандмауэром Windows (Windows Firewall), встроенным в операционную систему, я не пользуюсь — более того, я обычно отключаю его для всех профилей с помощью универсальной команды:
netsh advfirewall set allprofiles state off
Как-то раз мы с коллегой — специалистом по Linux-системам — разговорились о встроенных брандмауэрах, и он заявил, что хорошо бы мне использовать на всех своих компьютерах Брандмауэр Windows. Сначала я ожидал какого-нибудь подвоха в контексте извечного спора «Windows против Linux», но как оказалось, мой собеседник действительно считает, что Брандмауэр Windows неплохо справляется со своей основной задачей.
Я, как специалист по Windows, в принципе с этим согласен. Брандмауэр Windows прекрасно управляет входящим и исходящим трафиком, позволяя создавать правила блокировки и конфигурации для отдельных портов. В сочетании с лучшим, на мой взгляд, инструментом Microsoft, — групповой политикой на уровне Active Directory — правила для Брандмауэра Windows можно создавать централизованно и с легкостью распространять на все компьютеры в сети.
В таком случае встает вопрос: можно ли отказаться от использования аппаратных брандмауэров в пользу программных, встроенных в операционную систему? Вряд ли это реально, но зато служит поводом пересмотреть отношение к Брандмауэру Windows на компьютерах локальной сети в целом. Разумеется, для успешного применения этого инструмента потребуется централизованное управление, а чересчур суровые правила блокировки могут перекрыть доступ не только к привычным средствам коммуникации, но и к некоторым административным интерфейсам.
Единственный, на мой взгляд, способ применения встроенных брандмауэров, даже в доверенных зонах, где проблема безопасности стоит не так остро, — это централизованное управление. В случае с Брандмауэром Windows для этого можно использовать групповую политику.
А вы что думаете о возможности широкомасштабного применения Брандмауэра Windows? Поделитесь своим мнением в комментариях!
