我的托管公司说 IPTables 没用,不提供任何保护。这是谎言吗?
TL;DR
我有两台位于同一地点的服务器。昨天我的 DC 公司联系我告诉我,因为我使用的是软件防火墙,我的服务器“容易受到多种关键安全威胁”,而我当前的解决方案提供“无法抵御任何形式的攻击”。
他们说我需要防火墙获得一个专用的思科($ 1000安装则$ 200 /每月每),以保护我的服务器。我一直认为,虽然硬件防火墙更安全,但 RedHat 上的 IPTables 之类的东西为您的普通服务器提供了足够的保护。
两台服务器都只是网络服务器,对它们没有任何重要意义,但我使用 IPTables 将 SSH 锁定到我的静态 IP 地址并阻止除基本端口(HTTP(S)、FTP 和其他一些标准服务)之外的所有内容)。
我不打算安装防火墙,如果服务器的以太被黑客入侵,那将是一个不便,但它们运行的只是一些 WordPress 和 Joomla 站点,所以我绝对认为不值得花钱。
TL; DR 版本:原来这是 Windows Server 2008 R2 中的一个深层 Broadcom 网络错误。更换英特尔硬件修复了它。我们不再使用 Broadcom 硬件。曾经。
我们一直在使用HAProxy和来自 Linux-HA 项目的heartbeat。我们使用两个 linux 实例来提供故障转移。每个服务器都有自己的公共 IP 和一个 IP,该 IP 使用虚拟接口 (eth1:1) 在两个 IP 之间共享:69.59.196.211
虚拟接口 (eth1:1) IP 69.59.196.211 被配置为它们背后的 Windows 服务器的网关,我们使用 ip_forwarding 来路由流量。
我们在我们的 linux 网关后面的一台 Windows 服务器上偶尔遇到网络中断。HAProxy 将检测服务器离线,我们可以通过远程连接到故障服务器并尝试 ping 网关来验证:
使用 32 字节数据 Ping 69.59.196.211: 来自 69.59.196.220 的回复:目标主机无法访问。
arp -a在此失败的服务器上运行显示网关地址(69.59.196.211)没有条目:
接口:69.59.196.220 --- 0xa Internet 地址 物理地址类型 69.59.196.161 00-26-88-63-c7-80 动态 69.59.196.210 00-15-5d-0a-3e-0e 动态 69.59.196.212 00-21-5e-4d-45-c9 动态 69.59.196.213 …
我支持小型办公室(15 个用户、ActiveDirectory、Windows 2008 和 Windows 7)。我们一直在使用 LogMeIn Hamachi for VPN,使我们的远程用户能够从家里访问文件共享。它运行良好,因为我们的性能需求很小。
随着越来越多的用户上网,我开始考虑其他解决方案。在权衡SonicWall NSA 2400 之类的成本时,我应该考虑什么?超出我为 Hamachi 支付的 50.00 美元,额外的 2450.00 美元有什么好处?对于小型办公室来说,这样的设备是否太过分了?
更新 1:这与问题“硬件防火墙与 VMware 防火墙设备”略有不同,后者区分了硬件设备和基于 VM(但仍然是专用的)设备。我们目前都没有使用它们。
更新2:“为什么要购买高端硬件防火墙?”问题的答案。确实提供了一些很好的理由,我最喜欢的是“花钱去责备某人”。