我在 stackoverflow 上发布了关于 o托管式主机与非托管式主机的总体优势。
我思考得越多,似乎就越能归结为一个问题:我应该使用托管主机吗?因为他们负责防火墙,或者我可以管理自己的软件防火墙吗?
盒子上的网站确实有很多流量,但至于吞吐量诸如此类,我对此不太了解。
理想情况下,我会将我的网站转移到 Linode 堆栈并使用以下方式管理传入连接iptables或者其他选择。
以下是托管主机将提供的一些硬件解决方案示例:
- Cisco Pix 501、Pix 506、Pix 515 以及 ASA 5505 和 ASA 5510 防火墙,可在控制面板中配置
- 类似 FortiGate 110C 的企业防火墙
除此之外,我不需要托管,因此我很感谢您的建议。
答案1
专用防火墙设备的优点是您的服务器不必处理即将被丢弃的流量(如果您在目标框上进行过滤,您的接口仍然会饱和)。
如果您预计有大量流量,并且其中很大一部分可能会被丢弃,那么专用防火墙(来自您的提供商或您自己管理的防火墙)可能是一个好主意。
如果您不希望丢失大量流量并且不认为您的服务器连接会被垃圾填满,那么本地防火墙可能“足够好”,但我始终赞成将防火墙角色分离到专用硬件上:PIX、ASA 或运行 PFSense 或类似软件的专用盒都是不错的选择。
答案2
如果您的机器被入侵,那么拥有像您提到的 ons 这样的外部防火墙可能会有所帮助,防火墙也不太可能被入侵。这将阻止黑客运行某些服务,并且您可以检查防火墙日志以确定攻击来源,以防止将来再次发生。此外,正如所提到的,防火墙将减轻您的服务器的一些负载。
在我看来,在实践中,在大多数情况下,这两种好处都不足以证明外部管理防火墙的合理性。防火墙本来可以阻止的服务器负载可以忽略不计。如果您的服务器被黑客入侵,那么您还有其他事情要担心,而不必稍微限制他们可以做的事情,而且从长远来看,防火墙的安全日志不太可能带来太多实际好处。
使用 iptables 并且不要忘记阻止传出和传入流量。