فایروال برای سرور مجازی ویندوزی
با سلام و خسته نباشید خدمت دوستان و اساتید گرامی .
من از یکی از شرکت های ارائه دهنده سرور، دوتا سرور مجازی تهیه کردم که هر دو ویندوز سرور 2016 هست . یکی از سرورها را برای هاست کردن نرم افزار تحت وب که به زبان asp.net نوشته شده استفاده کردم (نصب شده بر روی iis) و دیگری هم برای ایمیل سرور که از kerio connect استفاده کردم . موضوعی که الان برام بسیار مهم هست بحث امنیت و کنترل ترافیک و ارتباط ها هست . در نظر داشتم که برای هر دو سرور از Kerio control به عنوان فایروال استفاده کنم ، غافل ازینکه Kerio control دیگه نسخه ویندوزی نداره!
من الان موندم چه کار کنم و چه جایگزینی برام وجود داره ؟
عملا چون سرورها اجاره ای و مجازی هست ، من قدرت مانور و گرفتن هر تصمیمی را ندارم . اگر سرور ها بصورت فیزیکی در اختیار من بود قطعا راهکار این بود که یک سرور دیگری راه اندازی کنم برای کریو کنترل و سرورهای وب و ایمیل را در پشت اون قرار بدم ! اما خب الان سرورها مجازی و اجاره ای هست و این امکان برای من وجود نداره !
به ذهنم رسید روی هرکدام از سرورها Vmware workstation نصب کنم و روی اون کریو کنترل نصب کنم و ترافیک را از مسیر اون به سرور ببرم ! سوال این هست که آیا این کار اساسا درست هست ؟!!!!!! مسخره نیست ؟!
از طرفی خیلی سعی کردم فایروالی که بشه روی ویندوز سرور نصب کردم پیدا کنم که موفق نشدم . برای وب سرور WAF هم باید پیدا کنم .
میشه در این خصوص نظر، پیشنهاد و راه کاری بفرمایید تا یک مقدار این مسیر برای من هموار بشه ؟
1 پاسخ
سلام و عرض ادب و احترام ، بریم سر اصل ماجرا و واقعیتش رو رفاقتی و بی تعارف بگم:
اول از همه اینکه ایده ی نصب VMware Workstation روی یه سرور مجازی و بعد راه اندازی Kerio Control روش واقعاً شدنی نیست، نه از لحاظ فنی درست و اصولیه، نه از لحاظ کارایی جواب می ده. چون عملاً داری یه لایه مجازی سازی سنگین رو میاری روی یه سرور مجازی دیگه که خودش منابع محدودی داره، اونم واسه فقط فایروال! به علاوه این کار خیلی دست و پاتو می بنده و امنیت واقعی هم نمیاره، بیشتر دردسر اضافه ست.
حالا بریم سراغ اصل سوال: چطور می تونی توی یه سرور اجاره ای ویندوز سرور، یه فایروال درست و حسابی داشته باشی که بشه کنترل ارتباطات و پورت ها و ترافیک ها رو انجام داد؟ و در کنارش اگه بشه WAF هم برای IIS راه بندازی.
راهکار منطقی چیه؟
۱. استفاده از Windows Firewall با تنظیمات پیشرفته
شاید ساده به نظر بیاد ولی ویندوز سرور خودش یه فایروال قدرتمند داره. مشکل ما معمولاً اینه که درست کانفیگش نمی کنیم. با همین فایروال ویندوز می تونی دقیق تعیین کنی:
چه پورتی باز باشه
چه آی پی هایی اجازه دسترسی داشته باشن (مثلاً فقط آی پی دفتر شما)
چه برنامه ای مجاز باشه از اینترنت استفاده کنه
یا حتی لوکیشن های جغرافیایی خاص رو بلاک کنی (با کمک اسکریپت یا نرم افزارهای جانبی)
فایروال ویندوز، با Advanced Security بخش Inbound و Outbound Rules داره، کامل و حرفه ای هم هست. حتی می تونی با PowerShell هم اسکریپت نویسیش کنی برای مدیریت بهتر.
۲. نصب فایروال Third-Party ساده و سازگار با ویندوز
اگر دنبال یه چیز گرافیکی تر و با امکانات بیشتر از فایروال ویندوز هستی، این گزینه ها خوبن:
GlassWire: یه فایروال خوش دست، گرافیکی، سبک، با لاگ کامل از کانکشن ها و قابلیت کنترل کامل روی ترافیک. برای کاربرای نیمه حرفه ای خیلی خوبه.
Simplewall: خیلی سبک، بدون نصب درایور اضافه، مناسب برای کنترل دقیق پورت ها و اپلیکیشن ها.
TinyWall: رابطی روی Windows Firewall هست ولی قابلیت های بیشتری داره.
همه اینا منابع زیادی نمی گیرن و رو سرور مجازی خوب کار می کنن.
۳. اگه بودجه و شرایط داشتی، UTM ابری
مثلاً:
Cloudflare WAF برای وب سرور: هم ترافیک رو از نظر حملات فیلتر می کنه (مثل SQLi, XSS) هم کلی امکانات دیگه داره مثل کش، CDN، Rate limiting و...
این رو می تونی جلوی IIS بزاری، یعنی DNS سایتت رو بدی به Cloudflare و از اون طریق درخواستا رو هندل کنی، بدون اینکه سرورت تحت فشار باشه.
۴. WAF برای IIS:
برای خود IIS هم می تونی WAF نرم افزاری نصب کنی:
ModSecurity با IIS هم قابل استفاده ست (نسخه مخصوص ویندوز داره)
یا یه سری راهکارهای تجاری مثل AQTRONIX WebKnight هم هستن که WAF خاص برای IIS هست.
خلاصه ی ماجرا:
نه نصب VMware روی سرور مجازی کار درستیه، نه Kerio دیگه به کارت میاد.
فایروال ویندوز رو جدی بگیر، حرفه ای کانفیگش کن.
اگه خواستی، یه فایروال سبک مثل GlassWire یا TinyWall روش نصب کن.
برای امنیت وب سرور از WAF مثل ModSecurity یا Cloudflare استفاده کن.
اگه بتونی ترافیک رو از یک CDN عبور بدی، نصف حملات سطح بالا خودبه خود مسدود می شن.