我有一个托管网络,有 40 个用户、4 个托管交换机、VLAN、双广域网、多个接入点。Proliant HPE 服务器提供网络服务,甚至将几个网站暴露在反向代理 (Nginx) 后面的开放互联网上。网络上的所有客户端 PC 都在 Linux 或 Mac 上运行。我有一个静态公共IP。总的来说,我想说的是小型企业规模的网络。
我没有安装防火墙,我想知道是否需要一个。到目前为止,我已经在每个暴露于互联网的虚拟机上实现了安全性,锁定了 SSH(公钥且无密码),这是 UFW 的一些规则。我没有高内螺纹。到目前为止,我已经在狂野的互联网中幸存下来了。
我不热衷于安装会剥夺我的路由器功能的防火墙,因为我已经习惯了它,而且它提供了很好的工具来管理云上的网络(类似于 Ubiquiti)。我正在考虑在透明模式下在路由器和第一台交换机之间安装防火墙,以避免影响路由器(锐捷EG105G-V2)上可用的网络管理工具。
我的问题是:我真的需要防火墙吗?如果在路由器和交换机之间以透明模式安装防火墙,将 DHCP/Vlan 和端口转发管理留给路由器,它会给我带来任何好处吗?最后,哪个防火墙?
我知道可能需要更多信息来给我指明方向,但是您的评论将不胜感激。
这个问题将吸引基于意见的答案。
因此,我将尝试在不带任何意见的情况下回答这个问题,以便您可以形成自己的意见。
有两种类型的防火墙。
对于这两种防火墙,都会根据其目的地和端口来检查流量,并且防火墙通常配置为阻止除某些端口之外的所有端口。
对于软件防火墙,还可以选择程序。如果该程序正在运行,则允许某个端口,但如果该程序未运行,则该端口将被阻止。
通过硬件,无论数据包想要访问哪个端口,都可以检查并阻止数据包本身。
也就是说,当您在网络中放置路由器时,默认情况下传入端口会被阻止,并且需要路由器中的 NAT 规则才能再次打开端口。这也是一种防火墙。
路由器可以使用 DMZ(非军事区),将所有流量转发到一个 IP 地址,从而有效地允许所有端口。如果 DMZ 用于 PC,而不是具有自己的 NAT 的路由器,那么强烈建议也使用防火墙。
如果您不使用 DMZ,则来自 WAN 的流量通常不需要防火墙。
也就是说,另一种形式的攻击可能来自 LAN,在这种情况下,服务器应该设置防火墙。
例如,黑客可以在您的建筑物附近驾驶汽车,攻击 WiFi 并获得访问权限。如果服务器没有防火墙,他们就可以从那里攻击服务器。
因此,最佳实践是:使用没有 DMZ 的路由器连接到服务器或 PC,并在所有服务器上激活软件防火墙。只有当您的网络需要最高安全性时,您才应该增加使用更多或更好的防火墙。
是的,您需要防火墙,因为人们几乎每天都会扫描所有 IPv4 和 IPv6 的漏洞,尤其是 IPv4,因为 IPv4 的漏洞数量只有 40 亿个。
我一直在监控我的传入连接,并收集扫描过我的 IP 的 IP 列表。
仅用了 2-3 年时间,我就收集了 130 万个唯一的 IP 地址,这还不包括屡犯者。
一旦黑客确定端口打开,他们就会尝试找出该端口上运行的软件,并尝试利用它。
例如:
我的 apache/web 服务器每天都会收到数十次探测攻击,并且尝试利用的次数较少。
我的邮件服务器经常受到试图猜测我的用户名和密码的攻击。每天出现数十到数百次,而我的网站甚至不受欢迎。事实上,除了机器人和我自己之外,没有人会看到我的网站。该比例约为 99.8% 机器人、0.1% 我和 0.1% 偶然发现我网站的随机人。
如果我不起眼、不起眼的IP吸引了这么多的关注,你可以想象一个真正的公司IP会吸引多少关注。
安装加密 VPN,以便您仍然可以锁定面向外部的 IP,并访问内部资源。
然后您需要监控您的 VPN 日志,以便没有人利用您的 VPN。
在Linux中你可以安装fail2ban