VPS 需要防火墙吗？

Question 1

我建议遵循Slicehost 上的 IPTables 指南. 他们有一个好的基本规则集允许传入 SSH、HTTP(S) 和 ping，同时允许您的服务器发送任何内容。

这些指南还可以帮助您设置 VPS 中可能需要的所有其他内容，因此您应该花一些时间阅读它们。http://library.linode.com/也是阅读这些内容的好地方。

Answer

我建议遵循Slicehost 上的 IPTables 指南. 他们有一个好的基本规则集允许传入 SSH、HTTP(S) 和 ping，同时允许您的服务器发送任何内容。

这些指南还可以帮助您设置 VPS 中可能需要的所有其他内容，因此您应该花一些时间阅读它们。http://library.linode.com/也是阅读这些内容的好地方。

Question 2

安全最好是分层实施的。除了一些额外的工作外，在您的 VPS 上添加基于主机的防火墙不会造成任何损害，而且可以保护您的系统免受某些攻击。

Iptables 是一个命令行工具，用于管理内核 netfilter 基础结构中的规则。几乎每个基于 Linux 的防火墙都使用 iptables。您可以说实际上只有一个 Linux 防火墙，只是有很多以不同方式操纵规则的工具。

至于使用哪种防火墙，我个人非常喜欢火神，但有很多替代方案可以搜索Linux 防火墙将会返回许多问题，讨论各种防火墙管理工具。

Answer

安全最好是分层实施的。除了一些额外的工作外，在您的 VPS 上添加基于主机的防火墙不会造成任何损害，而且可以保护您的系统免受某些攻击。

Iptables 是一个命令行工具，用于管理内核 netfilter 基础结构中的规则。几乎每个基于 Linux 的防火墙都使用 iptables。您可以说实际上只有一个 Linux 防火墙，只是有很多以不同方式操纵规则的工具。

至于使用哪种防火墙，我个人非常喜欢火神，但有很多替代方案可以搜索Linux 防火墙将会返回许多问题，讨论各种防火墙管理工具。

Question 3

正如 Zoredache 所说，安全确实最好分层实施。确保控制权对于安心也很重要。查看 HIDS（主机入侵检测系统）

HIDS 就像你出去聚会时让妈妈照看孩子一样。我的建议是操作系统安全评估中心因为它非常容易安装并且会教您有关系统各个方面的知识。

OSSEC 是一个可扩展、多平台、开源的基于主机的入侵检测系统 (HIDS)。它具有强大的关联和分析引擎，集成了日志分析、文件完整性检查、Windows 注册表监控、集中策略实施、rootkit 检测、实时警报和主动响应。

它可在大多数操作系统上运行，包括 Linux、OpenBSD、FreeBSD、MacOS、Solaris 和 Windows。

Answer

正如 Zoredache 所说，安全确实最好分层实施。确保控制权对于安心也很重要。查看 HIDS（主机入侵检测系统）

HIDS 就像你出去聚会时让妈妈照看孩子一样。我的建议是操作系统安全评估中心因为它非常容易安装并且会教您有关系统各个方面的知识。

OSSEC 是一个可扩展、多平台、开源的基于主机的入侵检测系统 (HIDS)。它具有强大的关联和分析引擎，集成了日志分析、文件完整性检查、Windows 注册表监控、集中策略实施、rootkit 检测、实时警报和主动响应。

它可在大多数操作系统上运行，包括 Linux、OpenBSD、FreeBSD、MacOS、Solaris 和 Windows。

Question 4

什么是 iptables？

它是这防火墙和网络路由层，您将在 Linux 上安装它。正如 Zoredache 所说，它是内核级别的，并且它的工作非常可靠。它非常强大，因此可能很难理解。因此，存在大量用于编辑 iptables 配置的接口。我最喜欢的是联邦快递因为它在 Ubuntu 上安装非常简单，而且非常轻松查看规则并进行编辑。

你应该安装一个吗？很可能。

你应该只依赖防火墙吗？当然不是。

安全服务器不仅仅意味着防火墙。防火墙仅决定哪些流量到达您。如果您想阻止人们通过 SSH 或 FTP 进行暴力破解，您可以使用 fail2ban 和/或移动他们的端口（我为 sshd 使用了一个超过 10,000 的高端口，以防止人们快速猜测它），您可以将 SSH 设置为仅允许通过密钥（而不是密码）进行身份验证，这要安全得多。

防火墙只是让人很容易地说“好吧，我只希望互联网能够看到 Web 服务器和 ssh 服务器，其他一切都只是本地的”。

Answer