最小特权原则。防火墙可以帮助您到达那里。深度防御原则。防火墙也可以帮助您到达那里。任何设计良好的配置都以一种或另一种方式显式地依赖于这两种方式。
另一件事是,您的服务器很可能是商品硬件,或专用于处理在标准服务器操作系统(Unix,NT,Linux)上运行的服务器软件的硬件。也就是说,它们没有专用的硬件来有效地处理和过滤传入的流量。您是否希望服务器处理即将发生的每一个可能的多播,ICMP数据包或端口扫描?
您最可能希望的是服务器仅实际处理对某些端口(80、443,ssl端口,典型的oracle 1521端口,rsync端口等)的请求。是的,当然,您需要在服务器上设置软件防火墙服务器仅侦听那些端口。但是,您的NIC仍然会受到不必要的流量的冲击(无论是组织中的恶性还是正常)。如果您的NIC受到重创,那么通过服务器的网络路径(也可能是服务器与内部客户端之间的网络路径)以及其他内部服务器和服务。)
不仅会严重打击您的NIC,还会使用您的软件防火墙,因为它必须检查它获取的每个单个数据包或数据报。
另一方面,防火墙,特别是位于子网边缘的防火墙(或将子网与外界隔离开的防火墙),往往是专门为处理这种类型的卷而构建的专用硬件。
您可以用M个防火墙包围N个服务器(N >> M)。然后,您将防火墙硬件设置为转储不定向到特定端口的所有内容。端口扫描,ICMP和其他垃圾邮件都消失了。然后,根据服务器的特定功能对服务器中的软件防火墙进行微调。
现在,您刚刚降低了(但没有消除)总停电的可能性,将其减少为网络分区或最坏情况下的部分故障。因此,您提高了系统抵御攻击或错误配置的能力。
没有防火墙,因为您的服务器有防火墙,就像在雾气笼罩下以零时速行驶时速120英里时安全带系安全带。那样行不通。