При адмініструванні серверів я вважаю за краще використовувати апаратні брандмауери для фільтрації трафіку на рівні всієї мережі. Програмними брандмауерами, зокрема, брандмауера Windows (Windows Firewall). вбудованим в операційну систему, я не користуюся - більш того, я зазвичай відключаю його для всіх профілів за допомогою універсальної команди:
netsh advfirewall set allprofiles state off
Якось раз ми з колегою - фахівцем з Linux-систем - розговорилися про вбудованих брандмауерах, і він заявив, що добре б мені використовувати на всіх своїх комп'ютерах Брандмауер Windows. Спочатку я очікував якогось підступу в контексті одвічного спору «Windows проти Linux», але як виявилося, мій співрозмовник дійсно вважає, що Брандмауер Windows непогано справляється зі своїм основним завданням.
Я, як фахівець з Windows, в принципі з цим згоден. Брандмауер Windows прекрасно керує вхідний і вихідний трафік, дозволяючи створювати правила блокування і конфігурації для окремих портів. У поєднанні з найкращим, на мій погляд, інструментом Microsoft, - груповою політикою на рівні Active Directory - правила для брандмауера Windows можна створювати централізовано і з легкістю поширювати на всі комп'ютери в мережі.
У такому випадку постає питання: чи можна відмовитися від використання апаратних брандмауерів на користь програмних, вбудованих в операційну систему? Навряд чи це реально, але зате є приводом переглянути ставлення до брандмауера Windows на комп'ютерах локальної мережі в цілому. Зрозуміло, для успішного застосування цього інструменту буде потрібно централізоване управління, а надто суворі правила блокування можуть перекрити доступ не тільки до звичних засобів комунікації, а й до деяких адміністративним інтерфейсів.
Єдиний, на мій погляд, спосіб застосування вбудованих брандмауерів, навіть в довірених зонах, де проблема безпеки стоїть не так гостро, - це централізоване управління. У випадку з брандмауера Windows для цього можна використовувати групову політику.