Smu*_*dge 37 networking firewall redhat iptables
我的托管公司说 IPTables 没用,不提供任何保护。这是谎言吗?
TL;DR
我有两台位于同一地点的服务器。昨天我的 DC 公司联系我告诉我,因为我使用的是软件防火墙,我的服务器“容易受到多种关键安全威胁”,而我当前的解决方案提供“无法抵御任何形式的攻击”。
他们说我需要防火墙获得一个专用的思科($ 1000安装则$ 200 /每月每),以保护我的服务器。我一直认为,虽然硬件防火墙更安全,但 RedHat 上的 IPTables 之类的东西为您的普通服务器提供了足够的保护。
两台服务器都只是网络服务器,对它们没有任何重要意义,但我使用 IPTables 将 SSH 锁定到我的静态 IP 地址并阻止除基本端口(HTTP(S)、FTP 和其他一些标准服务)之外的所有内容)。
我不打算安装防火墙,如果服务器的以太被黑客入侵,那将是一个不便,但它们运行的只是一些 WordPress 和 Joomla 站点,所以我绝对认为不值得花钱。
Chr*_*s S 35
硬件防火墙也运行软件,唯一真正的区别是设备是专门为任务而构建的。如果配置正确,服务器上的软件防火墙可以与硬件防火墙一样安全(请注意,硬件防火墙通常“更容易”达到该级别,而软件防火墙“更容易”搞砸)。
如果您运行的是过时的软件,则可能存在已知漏洞。虽然您的服务器可能容易受到这种攻击向量的影响,但声明它不受保护是煽动性的、误导性的或粗体谎言(取决于他们所说的确切内容以及他们的意思)。无论被利用的可能性如何,您都应该更新软件并修补任何已知漏洞。
说 IPTables 是无效的,充其量只是一种误导。尽管如此,如果一个规则是允许从所有到所有的所有内容,那么是的,它根本不会做任何事情。
旁注:我所有的个人服务器都是 FreeBSD 驱动的,并且只使用 IPFW(内置软件防火墙)。我从来没有遇到过这种设置的问题;我也遵循安全公告,从未见过此防火墙软件有任何问题。
在工作中,我们有分层的安全性;边缘防火墙过滤掉所有明显的垃圾(硬件防火墙);内部防火墙过滤网络上单个服务器或位置的流量(主要是软件和硬件防火墙的混合)。
对于任何类型的复杂网络,分层安全是最合适的。对于像您这样的简单服务器,拥有单独的硬件防火墙可能会有一些好处,但作用很小。
运行受保护的服务器本身的防火墙是比使用单独的防火墙设备的安全性较低。它不必是“硬件”防火墙。另一个设置为带有 IPTables 的路由器的 Linux 服务器可以正常工作。
受保护服务器上的防火墙的安全问题是机器可能会通过其正在运行的服务受到攻击。如果攻击者可以获得 root 级别的访问权限,则可以通过内核 root-kit 修改或禁用或绕过防火墙。
除了 SSH 访问之外,单独的防火墙计算机不应运行任何服务,并且 SSH 访问应限于管理 IP 范围。当然,除非 IPTables 实现或 TCP 堆栈中存在错误,否则它应该相对不易受到攻击。
防火墙机器可以阻止和记录不应该存在的网络流量,为您提供有关破解系统的宝贵预警。