itsadok Asked: 2009-05-12 05:29:24 +0800 CST2009-05-12 05:29:24 +0800 CST 2009-05-12 05:29:24 +0800 CST 专用防火墙与机器上 772 我在托管中心设置了一堆 Ubuntu 服务器。他们提供共享防火墙服务,但建议我自己在服务器上安装防火墙,即在每台机器上配置 iptables(他们建议APF,但我倾向于使用UFW)。 我很确定专用防火墙会更安全,所以我要求他们使用共享防火墙。 我是否正确地假设由专业人员管理的专用防火墙将是比我可以使用软件管理的任何解决方案更好的解决方案? 除了外部防火墙之外,我是否应该在服务器上设置防火墙,或者这是一种矫枉过正? 共享防火墙是硬件设备还是只是一个 linux 机器有关系吗? 编辑:澄清。对不起,我花了这么长时间。 firewall ubuntu hosting colocation 7 个回答 Voted Best Answer jj33 2009-05-12T05:56:21+08:002009-05-12T05:56:21+08:00 无论您是否有硬件防火墙,我都建议在服务器上安装类似 iptables 的软件防火墙。你拥有的保护层数越多,无论是为攻击者提供更多的墙壁,还是提供更多的地方,让攻击者不得不做一些愚蠢的事情,就越好。 也就是说,我通常更喜欢同时拥有软件和硬件防火墙。但是,如果它是托管防火墙,则存在防火墙提供商的技能和响应能力的真正问题。如果他们需要一周的时间才能打开一个港口,而你因此而失去了一个客户,这值得吗?您正在评估的供应商可能很棒,这只是我的考虑因素。 所以: 绝对是硬件和软件解决方案 硬件防火墙(由您安装或承包)的性质取决于您对供应商与自行安装解决方案的价格和能力的评估。 Adam Davis 2009-05-12T07:09:40+08:002009-05-12T07:09:40+08:00 由专业人员管理的专用防火墙是否比我可以使用软件管理的解决方案更好? 如果这是一个或另一个选择,那么通常是的。让专注于这项工作的专业人员为您处理这件事。 除了外部防火墙之外,我是否应该在服务器上设置防火墙,或者这是一种矫枉过正? 是的。唯一的缺点是您的机器性能稍差。好处是,如果有人设法闯入硬件防火墙内部的另一台机器,那么您仍然可以在一定程度上保护数据中心内的不良流量。 理想情况下,网络的设置不会发生这种情况,但这更昂贵且难以维护,因此您不能总是依赖它。 共享防火墙是硬件设备还是只是一个 linux 机器有关系吗? 大多数硬件防火墙都是linux盒子。使用哪个并不重要——重要的是谁实现了 linux 构建,以及他们在这方面的能力如何。专用的硬件盒可能会花费更多的时间和精力来确保构建安全,并且它可能已闪存到设备中,因此远程破解和更改有点困难,但除此之外没有实际区别。 -亚当 Oskar Duveborn 2009-05-12T05:55:26+08:002009-05-12T05:55:26+08:00 你应该同时使用两者。共享防火墙是“硬件设备”还是带有防火墙软件的通用操作系统都没有关系(大多数“硬件设备”仍然只是带有软件的通用操作系统,因此没有太大区别)。 机器上的本地防火墙将尽最大努力(取决于您如何配置它)来保护本地和外部流量。共享防火墙还有助于抵御外部流量——在今天的任何系统中,两者都应该被认为是强制性的,因为它们的范围不同。本地仅通过共享防火墙有助于解决蛋壳问题 - 即,许多邪恶的东西可能来自本地网络,无论是否偶然。 共享防火墙很可能允许更少的流量——而主机本地防火墙将不得不允许连接到数据库服务器、集群和负载平衡等东西——它们不应该通过共享防火墙。 shylent 2009-05-12T08:36:08+08:002009-05-12T08:36:08+08:00 可悲的是,我仍然无法在这里发表评论,所以我必须将其作为单独的答案发布。 我要站在亚当戴维斯一边说,最好的解决方案是两者的混合——你应该设置一个盒子作为专用防火墙并屏蔽服务器本身的连接,无论如何我们都是这样做的. 几乎不需要任何努力来限制服务器只对您信任的地址的公开(在 iptables 中需要一些条目)。 至于“专用防火墙盒”——出于某种原因,人们倾向于认为,它最好是“硬件防火墙”(就像过去流行的 PIX 一样),这对我来说毫无意义,因为它不是一些“魔盒”,它是一台运行某些专用软件的 PC 。如果您使用了这样的设备(PIX、ASA 或其他类似设备),对您有好处,但您仍然需要专业人员进行设置,它不会“正常工作”。最好的办法是为此设置一个专用的 linux(或 bsd,实际上取决于偏好)框。当然,您仍然需要有人在硬件和软件方面为您提供帮助——这取决于您正在寻找的防火墙设置的复杂性。 我知道,这有点离题,但我要告诉你:至于服务器的安全性,不要害怕 iptables。我不知道 ubuntu 是否有一些帮助工具来处理 iptables,但我会说,不惜一切代价避免它。了解链遍历在 iptables 中的工作原理不需要任何时间,然后关闭从某些地址对服务器的访问或设置简单的 NAT 需要尽可能多的(定义非常明确的)shell 命令。 tomjedrz 2009-05-12T05:54:26+08:002009-05-12T05:54:26+08:00 我评论说要求澄清这个问题..根据任何编辑我可能会改变这个答案! 我是否正确地假设由专业人员管理的专用防火墙将是比我可以使用软件管理的任何解决方案更好的解决方案? 是的。我的看法是专用防火墙更好。假设专业人员有能力并且可以信任,那么由专业人员管理通常要好得多。 除了外部防火墙之外,我是否应该在服务器上设置防火墙,或者这是一种矫枉过正? 如果有一个好的(受信任的)外部防火墙,我对本地软件防火墙很矛盾。其他人不同意,行业的趋势是如果外部防火墙被破坏,则将本地防火墙作为内部保护层。问题是本地防火墙会引起麻烦的管理工作和风险是否值得增加保护或放心。在没有客户的环境中(即 colo),我不会这么认为。 共享防火墙是硬件设备还是只是一个 linux 机器有关系吗? 不确定我是否得到这个问题.. 许多(如果不是大多数)防火墙设备基本上都是运行 Linux 操作系统的 PC 硬件。 防火墙是软件,无论是在 Linux 之上实现、嵌入在某些硬件中,还是构建在特殊用途的操作系统上。Linux 是防火墙平台的一个很好的解决方案,因为它可以非常精细地调整并以其他方式保护。 duffbeer703 2009-05-12T07:37:01+08:002009-05-12T07:37:01+08:00 我对此的看法取决于具体情况。 在您的情况下,我建议使用托管设施的防火墙来保护您免受外部世界的影响,因为它可能是由知道自己在做什么的专业网络人员管理的。此外,您还可以使您的机器免于处理 DoS 攻击和其他互联网滋扰。 同时,我也不信任colo的网络。使用软件防火墙来控制谁可以 ssh 进入,并向托管服务提供商网络中的其他主机公开最低配置文件。 在内部的“受信任”(您的“受信任”版本可能会有所不同)网络中,我会避免使用软件防火墙,而是利用您的网络基础设施来实现通信控制。 Avery Payne 2009-05-12T11:18:31+08:002009-05-12T11:18:31+08:00 我是否正确地假设由专业人员管理的专用防火墙将是比我可以使用软件管理的任何解决方案更好的解决方案? 如果您在管理防火墙和网络路由方面有很好的经验,那么没有理由相信服务会做得更好。如果你不想麻烦,那就让他们处理。 就个人而言....我喜欢我可以随时弄坏我的数据包的想法。但这只是我... 除了外部防火墙之外,我是否应该在服务器上设置防火墙,或者这是一种矫枉过正? 它不仅是矫枉过正,而且在某些情况下,它可能会导致其他问题(数据包丢失、单向数据包传输等) 如果你要保护很多钱,或者同等价值的东西,那么是的,我会有一些防御层,第二个防火墙可能在这方面提供至少一个鳕鱼令牌产品。 共享防火墙是硬件设备还是只是一个 linux 机器有关系吗? 这是您的防火墙和路由的复杂性的一个功能。linux 盒子几乎可以用作专用的低端路由器,允许您进行地址重写、基于类的队列、端口重写等。
无论您是否有硬件防火墙,我都建议在服务器上安装类似 iptables 的软件防火墙。你拥有的保护层数越多,无论是为攻击者提供更多的墙壁,还是提供更多的地方,让攻击者不得不做一些愚蠢的事情,就越好。
也就是说,我通常更喜欢同时拥有软件和硬件防火墙。但是,如果它是托管防火墙,则存在防火墙提供商的技能和响应能力的真正问题。如果他们需要一周的时间才能打开一个港口,而你因此而失去了一个客户,这值得吗?您正在评估的供应商可能很棒,这只是我的考虑因素。
所以:
由专业人员管理的专用防火墙是否比我可以使用软件管理的解决方案更好?
如果这是一个或另一个选择,那么通常是的。让专注于这项工作的专业人员为您处理这件事。
除了外部防火墙之外,我是否应该在服务器上设置防火墙,或者这是一种矫枉过正?
是的。唯一的缺点是您的机器性能稍差。好处是,如果有人设法闯入硬件防火墙内部的另一台机器,那么您仍然可以在一定程度上保护数据中心内的不良流量。
理想情况下,网络的设置不会发生这种情况,但这更昂贵且难以维护,因此您不能总是依赖它。
共享防火墙是硬件设备还是只是一个 linux 机器有关系吗?
大多数硬件防火墙都是linux盒子。使用哪个并不重要——重要的是谁实现了 linux 构建,以及他们在这方面的能力如何。专用的硬件盒可能会花费更多的时间和精力来确保构建安全,并且它可能已闪存到设备中,因此远程破解和更改有点困难,但除此之外没有实际区别。
-亚当
你应该同时使用两者。共享防火墙是“硬件设备”还是带有防火墙软件的通用操作系统都没有关系(大多数“硬件设备”仍然只是带有软件的通用操作系统,因此没有太大区别)。
机器上的本地防火墙将尽最大努力(取决于您如何配置它)来保护本地和外部流量。共享防火墙还有助于抵御外部流量——在今天的任何系统中,两者都应该被认为是强制性的,因为它们的范围不同。本地仅通过共享防火墙有助于解决蛋壳问题 - 即,许多邪恶的东西可能来自本地网络,无论是否偶然。
共享防火墙很可能允许更少的流量——而主机本地防火墙将不得不允许连接到数据库服务器、集群和负载平衡等东西——它们不应该通过共享防火墙。
可悲的是,我仍然无法在这里发表评论,所以我必须将其作为单独的答案发布。
我要站在亚当戴维斯一边说,最好的解决方案是两者的混合——你应该设置一个盒子作为专用防火墙并屏蔽服务器本身的连接,无论如何我们都是这样做的. 几乎不需要任何努力来限制服务器只对您信任的地址的公开(在 iptables 中需要一些条目)。
至于“专用防火墙盒”——出于某种原因,人们倾向于认为,它最好是“硬件防火墙”(就像过去流行的 PIX 一样),这对我来说毫无意义,因为它不是一些“魔盒”,它是一台运行某些专用软件的 PC 。如果您使用了这样的设备(PIX、ASA 或其他类似设备),对您有好处,但您仍然需要专业人员进行设置,它不会“正常工作”。最好的办法是为此设置一个专用的 linux(或 bsd,实际上取决于偏好)框。当然,您仍然需要有人在硬件和软件方面为您提供帮助——这取决于您正在寻找的防火墙设置的复杂性。
我知道,这有点离题,但我要告诉你:至于服务器的安全性,不要害怕 iptables。我不知道 ubuntu 是否有一些帮助工具来处理 iptables,但我会说,不惜一切代价避免它。了解链遍历在 iptables 中的工作原理不需要任何时间,然后关闭从某些地址对服务器的访问或设置简单的 NAT 需要尽可能多的(定义非常明确的)shell 命令。
我评论说要求澄清这个问题..根据任何编辑我可能会改变这个答案!
我是否正确地假设由专业人员管理的专用防火墙将是比我可以使用软件管理的任何解决方案更好的解决方案?
是的。我的看法是专用防火墙更好。假设专业人员有能力并且可以信任,那么由专业人员管理通常要好得多。
除了外部防火墙之外,我是否应该在服务器上设置防火墙,或者这是一种矫枉过正?
如果有一个好的(受信任的)外部防火墙,我对本地软件防火墙很矛盾。其他人不同意,行业的趋势是如果外部防火墙被破坏,则将本地防火墙作为内部保护层。问题是本地防火墙会引起麻烦的管理工作和风险是否值得增加保护或放心。在没有客户的环境中(即 colo),我不会这么认为。
共享防火墙是硬件设备还是只是一个 linux 机器有关系吗?
不确定我是否得到这个问题.. 许多(如果不是大多数)防火墙设备基本上都是运行 Linux 操作系统的 PC 硬件。
防火墙是软件,无论是在 Linux 之上实现、嵌入在某些硬件中,还是构建在特殊用途的操作系统上。Linux 是防火墙平台的一个很好的解决方案,因为它可以非常精细地调整并以其他方式保护。
我对此的看法取决于具体情况。
在您的情况下,我建议使用托管设施的防火墙来保护您免受外部世界的影响,因为它可能是由知道自己在做什么的专业网络人员管理的。此外,您还可以使您的机器免于处理 DoS 攻击和其他互联网滋扰。
同时,我也不信任colo的网络。使用软件防火墙来控制谁可以 ssh 进入,并向托管服务提供商网络中的其他主机公开最低配置文件。
在内部的“受信任”(您的“受信任”版本可能会有所不同)网络中,我会避免使用软件防火墙,而是利用您的网络基础设施来实现通信控制。
如果您在管理防火墙和网络路由方面有很好的经验,那么没有理由相信服务会做得更好。如果你不想麻烦,那就让他们处理。
就个人而言....我喜欢我可以随时弄坏我的数据包的想法。但这只是我...
它不仅是矫枉过正,而且在某些情况下,它可能会导致其他问题(数据包丢失、单向数据包传输等)
如果你要保护很多钱,或者同等价值的东西,那么是的,我会有一些防御层,第二个防火墙可能在这方面提供至少一个鳕鱼令牌产品。
这是您的防火墙和路由的复杂性的一个功能。linux 盒子几乎可以用作专用的低端路由器,允许您进行地址重写、基于类的队列、端口重写等。