我正在使用ConfigServer安全和防火墙(CSF)来限制端口访问白名单IP地址。 但是我听说IP地址可能被欺骗。 这个问题究竟有多广泛,是我应该关心的问题?
在很多消费者的互联网上,我可以把我的IP设置为邻居的IP,并且拥有他们的IP,所以是的IP可以被欺骗。 共置服务器也经常在不同的客户之间共享一个子网。 只要DOS的机器,所以它下降,接pipe它的IP,你就完成了…
无论如何,这取决于你的情况。 你有数据,你期望被盗,或试图被盗? 那么您需要比IP白名单更多的安全性。 但是,它会是一个“正常的”(networking)服务器,那么通常甚至IP限制只对像PHPMyadmin这样的flakey软件是必需的。 像SSH这样的软件不会被破解,因为OpenSSH是严格审计的。 即使DenyHosts(否认试图经常login的IP)也是不必要的,而且大部分都是令人讨厌的(我经常被我的机器挡住了……)。
我的经验是,如果你没有其他人需要的数据,你最大的问题就是自动扫描诸如flakey PHP站点等垃圾邮件。 最简单的安全措施,如IP白名单或运行在不同的端口上,通常就足够了。
看看安全堆栈交换这个问题 – 很多有用的答案。