我在托pipe中心设置了一堆Ubuntu服务器。 他们提供共享的防火墙服务,但build议我自己在服务器上安装防火墙,即在每台机器上configurationiptables(他们build议使用APF ,但我倾向于使用UFW )。
我很确定专用的防火墙会更安全,所以我要求他们使用共享的防火墙。
我是否有理由认为专业人员pipe理的专用防火墙比我能用软件pipe理的更好?
除了外部服务器之外,我应该在服务器上设置一个防火墙,还是这是一个矫枉过正的问题?
如果共享防火墙是硬件设备还是只是一个Linux的盒子,这有什么关系吗?
编辑 :澄清。 对不起,我花了这么长时间。
我build议在服务器上安装像iptables这样的软件防火墙,不pipe你是否有硬件防火墙。 你有更多的保护层次,无论是为攻击者提供更多的墙壁,还是提供更多的地方,让某个人不得不做一些愚蠢的事情来让攻击者更好。
也就是说,我通常喜欢同时拥有软件和硬件防火墙。 但是,如果它是一个受pipe理的防火墙,防火墙提供商的技能和响应能力是一个真正的问题。 如果他们花了一个星期的时间打开一个港口,并因此而失去了一个客户,那么值得吗? 你正在评估的供应商可能很棒,这只是我的一个考虑。
所以:
是专业的防火墙,由专业人员pipe理,比我用软件pipe理的更好的解决scheme?
如果这是一个或另一个select,那么通常是的。 让专注于这项工作的专业人士为您着想。
除了外部服务器之外,我应该在服务器上设置一个防火墙,还是这是一个矫枉过正的问题?
是。 唯一的缺点是你的机器性能稍差。 好处在于,如果有人设法在硬件防火墙的内部打入另一台机器,那么对于数据中心内部的不良通信量,您仍然有一定的保护。
理想情况下,networking设置是不可能发生的,但是这样做更加昂贵和难以维护,所以你不能总是依靠这个。
如果共享防火墙是硬件设备还是只是一个Linux的盒子,这有什么关系吗?
大多数硬件防火墙都是linux的盒子。 使用哪一个并不重要 – 重要的是谁在实施Linux构build,以及它们的优势。 一个专门的硬件盒子可能需要花费更多的时间和精力来保证构build的安全,并且可能会闪存到设备中,所以远程攻击和更改有点困难,但除此之外没有实际的区别。
-亚当
你应该使用两者。 共享防火墙是“硬件设备”还是带有防火墙软件的通用操作系统(大多数“硬件设备”仍然只是一个带有软件的通用操作系统,因此没有多大区别)并不重要。
机器上的本地防火墙将尽其所能(取决于您如何configuration它)来保护本地和外部stream量。 共享的防火墙将有助于防止外部stream量,因为它们的范围不同,所以在今天的任何系统中都应该被认为是强制性的。 本地只有一个共享的防火墙有助于抵制蛋壳问题 – 即大量邪恶的东西可能来自本地networking,偶然发生。
共享防火墙很可能会允许更less的stream量 – 而主机本地防火墙将不得不允许连接到数据库服务器,集群和负载平衡之类的东西 – 这些不应该通过共享防火墙。
可悲的是,我还是不能在这里发表评论,所以我必须把它作为一个单独的答案发布。
我打算在这里和Adam Davis站在一起,说最好的解决scheme是两者的结合 – 你应该设置一个专用的防火墙,并在服务器上自己屏蔽连接,反正我们是这么做的。 它几乎毫不费力地将服务器的暴露限制在你信任的地址上(在iptables中需要几个条目)。
至于“专用防火墙” – 出于某些原因,人们往往认为,它应该最好是一个“硬件防火墙”(像以前那样stream行的PIX),这对我来说是没有意义的,因为它不是一个“魔术盒”,所有的意图和目的都是一台PC,运行一些专门的软件 。 如果你使用这种设备(PIX,ASA或其他类似的设备),对你有好处,但是你仍然需要一个专业人员来设置它,它不会“正常工作”。 最好的办法是设置一个专用的linux(或者bsd,它的优先级,真的是这样)。 当然,您仍然需要有人来帮助您使用硬件和软件 – 这取决于您所寻找的防火墙设置的复杂性。
我知道,这有点偏离主题,但我会告诉你:至于你的服务器的安全性,不要害怕iptables。 我不知道Ubuntu是否有处理iptables的帮助工具,但我会说,不惜一切代价避免它。 了解链式遍历在iptables中的工作方式不需要任何时间,closures从某些地址访问服务器或设置简单的NAT需要多达几个(非常好定义)的shell命令。
我评论要求澄清的问题..取决于任何编辑我可以改变这个答案!
我是否有理由认为专业人员pipe理的专用防火墙比我能用软件pipe理的更好?
是。 我认为专用防火墙更好。 假如专业人员胜任并且可以信任,那么由专业人员进行pipe理通常要好得多。
除了外部服务器之外,我应该在服务器上设置一个防火墙,还是这是一个矫枉过正的问题?
如果有一个好的( 可信赖的 )外部防火墙,我对本地软件防火墙就很矛盾。 其他人则不同意,如果外部防火墙被攻破,业内的趋势是将本地防火墙作为内部防护层。 问题在于本地防火墙是否会造成麻烦的pipe理工作和风险是否值得进一步保护或是单方面的考虑。 在没有客户的环境下(即可乐),我不这么认为。
如果共享防火墙是硬件设备还是只是一个Linux的盒子,这有什么关系吗?
不知道我得到的问题..许多(如果不是大多数)防火墙设备基本上是运行Linux操作系统的PC硬件。
防火墙是软件,无论是在Linux之上实现,embedded在某些硬件中,还是build立在特殊用途的操作系统上。 Linux是防火墙平台的一个很好的解决scheme,因为它可以非常精细地调整和保护。
我对此的看法取决于情况。
在你的情况下,我build议使用托pipe设施的防火墙来保护你免受外部世界的影响,因为它大概由专业networking人员pipe理,他们知道他们在做什么。 此外,您可以节省您的机器处理DoS攻击和其他互联网滋扰。
同时,我也不相信科罗拉多的networking。 使用软件防火墙来控制哪些人可以进入ssh,并向colo提供商networking中的其他主机暴露最低configuration文件。
在内部,“可信”(您的版本“可信”可能会有所不同)的networking,我会避免使用软件防火墙,而是利用您的networking基础设施来实现通信控制。
如果你在pipe理防火墙和networking路由方面有很好的经验,那么没有理由相信一个服务会做的更好。 如果你不想和它混在一起,那就让他们处理吧。
就个人而言….我喜欢这个想法,我可以随时打破我的数据包,我喜欢。 但是那只是我…
这不仅是矫枉过正,而且在某些情况下,还会导致其他问题(包丢失,单向包传输等)
如果你保护了大量的金钱,或者是有相同价值的东西,那么是的话,我会有一些防御的,第二个防火墙可能会提供至less一个鳕鱼代币。
这是防火墙和路由复杂性的一个function。 Linux的盒子可以作为一个专门的低端路由器,允许你解决重写,基于类的队列,端口重写等。