问下，有硬件防火墙的WEB服务器仅开放80端口，并且设置了禁止主机访问外网的策略，能不能防止拿站？

不知道你的防火墙是型号的。 血到教训告诉你。一个80端口足可以黑了你的站。SQL注入也是通过WEB的80端口进行的。他一旦上传了木马。盗取了admin 权限。FTP的权限。就可以对你的服务器进行提权。。
所以要问你硬件防火墙。还有策略是怎么做的。
例如我公司用的netscreen 我用的VIP做的策略。。映射端口80 。同时的策略是禁止外网写入到服务器的。因为公司没有留言。BBS等互动的。所以可以这么做。 如果FTP。我会用到VPN客户端进行。这样就没问题了。
我同学的CISCO 用了其他的策略。限定访问的数据和端口。追问

你的VPN是用什么做的？IPSEC VPN 还是SSL VPN或者是MPLS VPN？？

我们公司的站点目前确实有留言板，另外为了安全起见，网站管理员登录界面没有做，也就是说只能在企业内部网里对网站进行维护。

但是这样会很不方便，我想用VPN来连接到企业内部网，然后远程登录WEB服务器对网站进行维护，不知道这样可以吗？

追答

IPSEC VPN 。我就是用VPN连接到企业内部。然后登录服务器。维护等等。在家也方便。我用的是软件的客户端。

本回答被提问者和网友采纳

仅开放80端口是可以的，但你后面说的策略是有问题的，应该建立禁止外部网络访问内部主机的策略。
源域：untrust 源地址：any 目的安全域：trust 目的地址：web服务器 服务：http 动作：允许通过

这样设置保证你的服务器非常安全！追问

禁止外部网络访问内部主机的策略会不会影响VPN？

你用防火墙和做安全策略对别人入侵你没啥作用
如果做了登录IP设置的话，别人可能只能拿webshell，无法登录你的3389，
硬防肯定对80端口的数据是放行的，也就是说硬防对web层基本没啥作用，除非你用web防火墙，至于禁止主机访问外网的策略，基本就是六个手指挠痒，没啥作用，服务器的作用是提供的服务的