防火墙面向服务器的互联网是否有意义,比如networking服务器? 假设我不想限制任何人访问Web服务器的能力来提供网页,我会阻止其他服务器上的机器。
如果机器被充分locking,这是否有必要?
我能想到的一个风险是,如果在networking服务器上利用漏洞,攻击者试图打开一个反向命令shell ….使用防火墙阻止networking服务器发起的连接将停止。
但是,防火墙的开销是否值得保护? 是否还有其他可能会丢失的攻击场景?
面对面向服务器的服务器之前是否有防火墙也不会增加由于DoS攻击而导致服务器无法访问的机会(根据我的理解,防火墙更容易实现)。
怎么样的IDS ….相同的论点?
除非严重错误configuration防火墙,否则只能提供帮助。 除非你有一个非常复杂的规则集,否则防火墙的开销通常是微不足道的。 请记住,它所做的只是根据一组规则来检查传入的数据包。 另外请记住,即使在面向公众服务器的最小型企业环境中,防火墙设置也是如此。 即使是小型的家庭路由器或桌面也只能从防火墙中受益。 想想你的login密码。 有人闯入你的房子和使用你的电脑的机会是渺茫的,但保护你的帐户密码的“开销”是微不足道的,你可能只是这样做。 除了您正在运行具有公共IP的Web服务器以外,您没有提供有关您的设置的信息。 我无法根据您的设置调整我的答案。
这台机器上可能还有一些其他的端口是打开的(比如SSH或者一些NetBIOS或RPC的东西,如果是Windows的话)。 防火墙可以让您将80号端口打开,用于一般业务,同时防止您有意或无意地在您的机器上运行其他服务。
此外,一些大多数防火墙软件包(如PF和Iptables)都可以用来阻止扫描和滥用合法的面向公众的服务器。 例如,如果您的服务被僵尸程序强制执行,则可以使用防火墙阻止该IP,同时允许其他IP继续访问您的networking服务器。 大多数防火墙都有内置或插件来自动化这个过程(即fail2ban和sshguard)。
一个正确configuration的防火墙不应该让你更容易受到DoS攻击。 这将有助于防止SYN泛滥,因为您可以阻止违规的IP。 当然,源IP可以伪造成随机值来避免这种情况。 然而,PF使用“synproxy”,可以缓解这一点。 泪滴攻击也可以通过防火墙来防止(即“擦洗”锚点)。
总之,防火墙还有很多其他的攻击方法可以阻止。 防火墙不仅仅是阻塞和允许端口。
我不能多说关于IDS的事情。
来源:我有在IPv4和IPv6环境下在FreeBSD上设置防火墙/网关的经验。
防火墙当然是至关重要的。 但是,正确configuration防火墙需要:
白名单列出允许防火墙执行的特定传出stream量。 (即,networking服务器可能考虑的唯一stream量是操作系统更新)。 阻止这可以最大限度地减less反向shell被用来在你的web服务器上安装恶意软件的可能性。 同样,阻止DNSparsing也可以限制初始缓冲区溢出损坏的可能性。
阻止所有不知道使用的端口
最后,与防火墙一样重要的是,日志logging(以及监视日志)也是至关重要的。
简短的回答是没有理由不在面向互联网的服务器之前设置防火墙。 DDoS攻击可能导致你的防火墙失败的可能性很可能会导致你的服务器失败。 这被称为失败closures,在发生故障时停止接受请求。
对于IDS来说,它有所不同,主要是因为它具有完全不同的function。 IDS是关于检测的,传统上位于防火墙之后,但面向互联网的服务器之前。 如果你的入侵检测系统有IPSfunction,并且超载,我会说你想让它失效,继续接受请求。
本质上来说,纵深防御就是要走的路,防火墙,安全监控,强化服务器。
另外我也同意Cocoabean,Firewals让你在很多types的DoS攻击中大大减less攻击的可能性。