我正在尝试确定我是否可以为整个网络(包括客户服务器)使用单个防火墙,或者每个客户是否应该拥有自己的防火墙。我发现许多托管公司要求每个拥有服务器集群的客户都拥有自己的防火墙。如果您需要一个 Web 节点和一个数据库节点,您还必须获得防火墙,并为此支付另一笔月费。
我拥有一个托管空间,其中有多台 KVM 虚拟化服务器,为许多不同的客户提供 VPS 服务。每台 KVM 主机都运行软件 iptables 防火墙,只允许访问每个 VPS 上的特定端口。我可以控制任何给定 VPS 开放的端口,允许从端口 80 和 443 上的任意位置访问 Web VPS,但完全阻止外部访问数据库 VPS,只允许某些其他 VPS 访问它。该配置非常适合我当前的需求。
请注意,目前没有硬件防火墙保护虚拟化主机。但是,KVM 主机只打开了端口 22,除了 KVM 和 SSH 之外没有运行任何其他程序,甚至端口 22 也无法访问,除非在网络块内部。
我现在正在考虑重新考虑我的网络,因为我有一个客户需要从单个 VPS 过渡到两个专用服务器(一个 Web 服务器和一个 DB 服务器)。另一个客户已经有一台专用服务器,除了系统上运行的 iptables 之外,它不受任何防火墙保护。
我是否应该要求每个专用服务器客户都拥有自己的专用防火墙?或者我是否可以为多个客户集群使用单个网络范围的防火墙?
我熟悉 iptables,目前考虑将它用于我需要的任何防火墙/路由器。但我不一定想在每个防火墙上占用机架中的 1U 空间,也不一定想占用每个防火墙服务器的功耗。所以我正在考虑使用硬件防火墙。有什么好方法的建议吗?
答案1
我认为,如果您是唯一控制防火墙的人,并且客户不想进行更改,那么您当然可以使用单个防火墙。
您可以在每台主机上使用 iptables,但是我不喜欢这种方法,因为在进行故障排除时会引入太多变量。
祝你好运!
答案2
保持简单。一个防火墙就可以完成工作。然后你需要一个防火墙。