TL; DR
我的托pipe公司说,IP表是没用的,不提供任何保护 。 这个BS吗?
我有两个位于同一地点的服务器。 昨天我的DC公司联系我告诉我,因为我使用的是软件防火墙,所以我的服务器“很容易受到多重,严重的安全威胁”,而我现在的解决scheme提供了“没有任何forms的攻击保护”。
他们说我需要一个专用的思科防火墙(安装1000美元,然后每月200美元)来保护我的服务器。 我一直觉得,硬件防火墙更安全,而像RedHat上的IPTables这样的东西,对于普通服务器来说,提供了足够的保护。
这两个服务器都只是networking服务器,没有什么关键,但我已经使用IPTableslockingSSH只是我的静态IP地址,并阻止除基本端口(HTTP(S),FTP和其他一些标准服务)。
我不打算去防火墙,如果服务器被黑了,这将是一个不便,但他们运行的是一些Wordpress和Joomla网站,所以我绝对不认为这是值得的钱。
硬件防火墙也在运行软件,唯一真正的区别是该设备是专门用于构build任务的。 服务器上的软件防火墙在正确configuration的时候可以和硬件防火墙一样安全(注意硬件防火墙通常更容易达到这个水平,而软件防火墙则更容易搞砸)。
如果您运行的是过时的软件,则可能存在已知的漏洞。 虽然你的服务器可能容易受到这种攻击媒介的影响,但说明它是不受保护的是煽动性的,误导性的或粗暴的谎言(取决于他们说了什么以及他们是如何expression的)。 无论使用的可能性如何,您都应该更新软件并修补所有已知的漏洞。
说IPTables是无效的充其量是误导 。 虽然如此,如果一个规则allow everything from all to all话,那么它根本就不会做任何事情。
注意:我所有的个人服务器都是FreeBSD驱动的,只能使用IPFW(内置软件防火墙)。 我从来没有遇到过这个问题。 我也遵循安全公告,从来没有看到这个防火墙软件的任何问题。 在工作中,我们有层层安全。 边缘防火墙过滤掉所有明显的垃圾(硬件防火墙); 内部防火墙可以为单个服务器或networking上的位置(主要是软件和硬件防火墙的混合)过滤stream量。 对于任何types的复杂networking,分层安全是最合适的。 对于像你这样简单的服务器,单独的硬件防火墙可能有一些好处,但是相当less。
在受保护的服务器上运行防火墙本身不如使用单独的防火墙机器安全。 它不一定是一个“硬件”防火墙。 另一台设置为IPTables路由器的Linux服务器可以正常工作。
受保护的服务器上的防火墙的安全问题是机器可能通过其运行的服务受到攻击。 如果攻击者可以获得根级别的访问权限,则可以通过内核root-kit修改或禁用防火墙或绕过防火墙。
除了SSH访问,单独的防火墙机器应该没有运行任何服务,并且SSH访问应限于pipe理IP范围。 当然,攻击应该是相对无懈可击的,除去IPTables实现或TCP堆栈中的错误。
防火墙机器可以阻止和logging不应该存在的networkingstream量,为您提供有价值的系统破解预警。
如果您的stream量较低,请尝试使用5505这样的小型思科ASA设备 。 价格在500-700美元之间,绝对是专门devise的。 联合会给你的BS,但他们的防火墙的价格也是不合理的。
我认为这也取决于performance。 什么是基于软件/服务器的防火墙使用CPU周期,硬件防火墙可以使用专用芯片(ASIC),从而提高性能和吞吐量。
从您的angular度来看,“软件”(机器本身)和“硬件”防火墙之间的真正区别在于,第一种情况下,stream量已经在您要保护的机器上,因此,如果某些内容被忽略,configuration错误。
硬件防火墙本质上是一个预filter,它只允许特定的stream量到达和/或退出服务器。
鉴于您的使用情况,并假设您有适当的备份,额外的费用将是非常困难的。 就个人而言,我会继续与你有什么,虽然也许使用不同的托pipe公司。
这一场比赛迟到了。 是的,服务提供商不知道他们在说什么。 如果你是一个能胜任的IPTABLESpipe理员,我会说你比一个开箱即用的硬件防火墙更安全。 原因是,当我使用它们时,好的gee-whiz接口并不反映什么stream量被允许通过的实际configuration。 供应商试图愚弄我们愚蠢的人。 我想知道每个数据包进出的每一个可能性。
IPTABLES并不适用于所有人,但如果您对安全性认真,则希望尽可能靠近线路。 确保系统安全非常简单 – 黑盒防火墙的逆向工程不是。