首先,对于家用电脑来说,在路由器后面安装/配置防火墙是否重要?
如果是这样,我该怎么做?我已经lamp-server安装了,因为我是一名 Web 开发人员。我可能希望 LAN 上的其他 PC 能够访问我的文件或网页,ssh 进入(可能将来),但不能从外部访问。我该如何配置它?从工作中,我了解到我一直在阻止自己,这denyhosts对暴力破解也很有用。但问题是我不是系统管理员,所以我一直在阻止自己(包括其他人)。也许这是gufw + denyhosts一个好的开始
答案1
您的问题比较广泛,我会尽力回答其中的一部分。
防火墙对您很有帮助,而且您已经知道您想要什么 - 允许您的 LAN 上的客户端并拒绝其他所有人。
因此,首先,您的路由器。禁用 UPnP 并且不要转发端口 80 (http) 或 443 (https)。如果需要,您可以转发 SSH (端口 22)。
在服务器上,如果您使用 ssh 密钥(登录)并禁用密码,则可以显著提高 ssh 安全性。
拒绝主机可能会有所帮助,但锁定很麻烦。您可以将 IP 或 IP 范围列入白名单。
有关 Denyhost 的一些建议,请参阅http://www.cyberciti.biz/faq/block-ssh-attacks-with-denyhosts/或denyhosts文档。
现在对于您的防火墙,您可以轻松使用 ufw,或者如果您想要一个图形前端,也可以使用 gufw。
假设您只想要 HTTP 和 SSH(更改192.168.0.0/24为您的 LAN):
sudo ufw enable
sudo ufw allow from 192.168.0.0/24 to any port 80
sudo ufw allow from 192.168.0.0/24 to any port 443
# for ssh from anywhere
sudo ufw allow ssh
# for ssh from your lan only
sudo ufw allow from 192.168.0.0/24 to any port 22
也可以看看Ubuntu 维基百科 UFW
答案2
如果您使用家用机器为客户开发任何东西,或者上面有敏感信息,那么值得看看它的好处。
正如 @medigeek 所说,这对你来说可能有点过头了,因为你的 ISP 路由器/调制解调器会提供一些保护。默认情况下,它可能会拒绝所有入站,直到你打开路由。
但是 - 如果您采取通常的安全假设,即在某个时候某人或某些恶意的东西可能会绕过该路由器(通过未修补或零日漏洞、错误配置、通过您的文件服务器或 Web 服务器等)你有什么保护措施, 和你想要多少?
我通常建议任何使用网上银行的人都采取分层方法:
- 拒绝路由器上的所有入站
- 主机防火墙(无论是 Windows、Linux 还是其他系统)
- 如果你在家里运行多台服务器,请查看 DMZ
- 确保所有可访问的机器都已更新补丁
这些都是简单的选项,对于拥有不到 10 台服务器或 PC 的标准家庭设置,几乎不需要维护