我试图确定是否可以为整个networking(包括客户服务器)使用单个防火墙,或者每个客户应该拥有自己的防火墙。 我发现很多托pipe公司要求每个客户端都有一个服务器集群来拥有自己的防火墙。 如果你需要一个networking节点和一个数据库节点,你还必须得到一个防火墙,并支付另一个月的费用。
我有多个KVM虚拟化服务器托pipeVPS服务的空间,以供不同的客户使用。 每个KVM主机都运行一个软件iptables防火墙,只允许在每个VPS上访问特定的端口。 我可以控制任何给定VPS打开的端口,允许从端口80和443上的任何地方访问Web VPS,但是完全阻止数据库VPS到外部,并且只允许某个其他VPS访问它。 configuration适合我目前的需求。
请注意,目前没有硬件防火墙保护虚拟主机。 但是,KVM主机只有22端口是打开的,除KVM和SSH以外什么都不运行,甚至端口22除了在networking块之外都不能被访问。
我现在正在考虑重新考虑我的networking,因为我有一个客户需要从单个VPS转换到两个专用服务器(一个networking和一个数据库)。 一个不同的客户已经有一个专用的服务器,除了在系统上运行的iptables之外,不在任何防火墙之后。
我是否应该要求每个专用服务器客户都有自己的专用防火墙? 或者我可以为多个客户群使用单一的networking防火墙吗?
我熟悉iptables,目前我正在考虑将它用于任何我需要的防火墙/路由器。 但是我不一定要把每个防火墙的1U空间用在每个防火墙上,也不需要每个防火墙服务器的功耗。 所以我正在考虑一个硬件防火墙。 任何build议什么是一个好方法?
我认为,如果你是控制防火墙的唯一的人,而且客户不希望能够做出改变,那么你肯定可以逃脱一个防火墙。
你可以在每个主机上使用iptables,但是我从来不喜欢这种方法,因为在排除故障时引入了太多的variables。
祝你好运!
把事情简单化。 一个防火墙可以完成这项工作。 然后你需要一个防火墙。