答案1
无论你有没有硬件防火墙,我都建议在服务器上安装像 iptables 这样的软件防火墙。保护层越多越好,无论是为攻击者提供更多屏障,还是提供更多让攻击者不得不做一些愚蠢的事情才能进入的地方。
话虽如此,我通常还是希望同时拥有软件和硬件防火墙。但如果是托管防火墙,那么防火墙提供商的技能和响应能力就会成为一个真正的问题。如果他们花一周时间打开一个端口,而你因此失去了一个客户,这值得吗?你正在评估的供应商可能很棒,这只是我的一个考虑因素。
所以:
- 绝对是硬件和软件解决方案
- 硬件防火墙的性质(您安装或签约)取决于您对供应商的价格和能力与自行安装解决方案的评估。
答案2
由专业人员管理的专用防火墙是否比我使用软件管理的防火墙更好?
如果只能二选一,那么一般情况下是的。让专注于这项工作的专业人士为您处理此事。
除了外部防火墙之外,我是否还应该在服务器上设置防火墙,或者这是否有点过度?
是的。唯一的缺点是机器的性能会下降一点。优点是如果有人设法闯入硬件防火墙内部的另一台机器,那么您仍然可以在一定程度上保护自己免受数据中心内部不良流量的侵害。
理想情况下,网络的设置不会发生这种情况,但这样做成本更高,而且难以维护,因此你不能总是依赖它。
如果共享防火墙是硬件设备还是仅仅是 Linux 机器,这有关系吗?
大多数硬件防火墙都是 Linux 盒。使用哪种并不重要 - 重要的是谁实施了 Linux 构建,以及他们在这方面做得有多好。专用硬件盒可能花费了更多时间和精力来确保构建的安全性,并且它可能已闪存到设备中,因此远程破解和更改会更困难一些,但除此之外没有实际区别。
-亚当
答案3
您应该同时使用两者。共享防火墙是“硬件设备”还是带有防火墙软件的通用操作系统并不重要(大多数“硬件设备”仍然只是带有软件的通用操作系统,因此没有太大区别)。
机器上的本地防火墙将尽最大努力(取决于您如何配置它)保护本地和外部流量。共享防火墙还有助于防止外部流量 - 两者在当今的任何系统中都应被视为强制性的,因为它们的范围不同。本地防火墙有助于解决只有共享防火墙的蛋壳问题 - 即许多恶意的东西可能来自本地网络,无论是偶然还是无意的。
共享防火墙很可能会允许更少的流量 - 而主机本地防火墙必须允许诸如与数据库服务器、集群和负载平衡的连接等内容 - 这些内容不应该通过共享防火墙。
答案4
我评论要求澄清这个问题..根据任何编辑我可能会改变这个答案!
我是否可以认为,由专业人员管理的专用防火墙比我用软件管理的任何防火墙都是更好的解决方案?
是的。我的看法是专用防火墙更好。由专业人员管理通常要好得多,前提是专业人员有能力且值得信赖。
除了外部防火墙之外,我是否还应该在服务器上设置防火墙,或者这是否有点过度?
我对本地软件防火墙持矛盾态度,如果有好的(值得信赖) 外部防火墙。其他人不同意,行业趋势是,如果外部防火墙被攻破,则将本地防火墙作为一层内部保护。问题是,本地防火墙可能带来的麻烦的管理工作和风险是否值得增加保护或安心。在没有客户端(即托管)的环境中,我不这么认为。
如果共享防火墙是硬件设备还是仅仅是 Linux 机器,这有关系吗?
不确定我是否明白这个问题..许多(如果不是大多数)防火墙设备基本上都是运行 Linux 操作系统的 PC 硬件。
防火墙是一种软件,无论是在 Linux 上实现、嵌入某些硬件还是在专用操作系统上构建。Linux 是防火墙平台的绝佳解决方案,因为它可以进行非常精细的调整,并且安全可靠。