我想这取决于你和你的经历。我们（我工作的公司）正在使用 Windows 防火墙。据我所知，很多小企业都在运行Windows防火墙。它“只是”一个防火墙，因此并不比您自己制作的更安全。考虑一下 ACL（访问控制列表），您指定允许哪些流量，不允许哪些流量。

如果您考虑使用 Windows 防火墙，我可以为您推荐这两个站点。

这是一篇《小企业如何配置windows防火墙：
http ://technet.microsoft.com/en-us/library/cc875816.aspx

这个是微软提供的一个文本文件，里面有一个 Windows 防火墙高级配置简介：
高级安全 Windows 防火墙简介

我对 Windows 防火墙不够熟悉，但我认为它不允许真正细粒度的控制，而只允许“请允许 WWW”。因此，它只适合初学者，IMO。但还有更基本的问题需要考虑：

如果底层 Windows 系统出现问题，防火墙和网络服务器都可能受到威胁，从而使攻击者可以随心所欲地扩大影响力。特别是如果它们驻留在同一台机器上。

相反，如果在 Windows 服务器前面部署基于 BSD 的防火墙，则可以显着减少攻击面。BSD 每月的错误要少得多，并且数据包过滤器将能够防止利用 windows 框上的错误或至少限制/监视通信。

由于减少了代码库、更新率和错误率，BSD 盒子在部署后也只增加了极少的维护开销。如果您有熟悉 Linux/iptables 的人，那么可能也值得研究专门的 Linux 发行版，例如 Shorewall，或者剥离您最喜欢的 Linux 发行版。

听起来你的防火墙和网络服务器在同一台机器上——这增加了你的攻击面。

您需要量化您正在保护的资产，然后您可以确定花费多少资金来保护它们。

我会说不，不是。您的防火墙在提供内容或资源的同一台服务器上运行，这被认为是不好的做法。可用于攻击的攻击面太大。

为了解决这个问题，我们在 Windows 机器之外预订了一台小型 CentOS Linux 机器，将 IPTables 设置为防火墙，并使用 Nginx 将所有端口 80 和 443 Web 请求代理到 Windows 机器上的 IIS。

Web 应用程序用户从 Ngix 服务器获得响应，并且在他们看到 IIS 之前有适当的安全和控制层。

那是我的 .02 美元

SG