我的托管公司说 IPTables 毫无用处,并且不提供任何保护。这是谎言吗?
总结
我有两台共置服务器。昨天,我的 DC 公司联系我,告诉我由于我使用软件防火墙,我的服务器“容易受到多种严重安全威胁”,而我目前的解决方案“无法抵御任何形式的攻击”。
他们说我需要购买专用的 Cisco 防火墙(安装费 1000 美元,然后每月 200 美元)每个) 来保护我的服务器。我一直认为,虽然硬件防火墙更安全,但像 RedHat 上的 IPTables 这样的软件已经为普通服务器提供了足够的保护。
这两台服务器都只是 Web 服务器,上面没有什么至关重要的东西,但我使用 IPTables 将 SSH 锁定到我的静态 IP 地址,并阻止除基本端口(HTTP(S)、FTP 和其他一些标准服务)之外的所有内容。
我不会购买防火墙,如果任何服务器被黑客入侵,那都会很不方便,但他们只运行一些 WordPress 和 Joomla 网站,所以我绝对认为它不值得花钱。
答案1
硬件防火墙也运行软件,唯一的区别在于设备是专门为该任务而构建的。服务器上的软件防火墙在正确配置后可以与硬件防火墙一样安全(请注意,硬件防火墙通常“更容易”达到该级别,而软件防火墙“更容易”出问题)。
如果您运行的是过时的软件,则可能存在已知漏洞。虽然您的服务器可能容易受到此攻击媒介的影响,但声称服务器不受保护是煽动性的、误导性的或赤裸裸的谎言(取决于他们所说的内容和意图)。无论被利用的可能性如何,您都应该更新软件并修补任何已知漏洞。
说 IPTables 无效是充其量是误导。不过,如果一条规则是允许一切从一切到一切那么是的,它根本就不会做任何事情。
边注:我所有的个人服务器都是由 FreeBSD 驱动的,并且只使用 IPFW(内置软件防火墙)。我从未遇到过此设置的问题;我也关注安全公告,从未发现此防火墙软件存在任何问题。
在工作中,我们的安全措施是分层的;边缘防火墙会过滤掉所有明显的垃圾(硬件防火墙);内部防火墙会过滤网络上各个服务器或位置的流量(主要是软件和硬件防火墙的混合)。
对于任何类型的复杂网络,分层安全措施都是最合适的。对于像您这样的简单服务器,拥有单独的硬件防火墙可能会有一些好处,但好处很少。
答案2
在受保护的服务器上运行防火墙是安全性不如使用单独的防火墙机器。它不必是“硬件”防火墙。另一台使用 IPTables 设置为路由器的 Linux 服务器也可以正常工作。
受保护服务器上的防火墙的安全问题是,该机器可能通过其正在运行的服务受到攻击。如果攻击者可以获得 root 级别访问权限,则可以通过内核 root-kit 修改、禁用或绕过防火墙。
单独的防火墙机器不应运行除 SSH 访问之外的任何服务,并且 SSH 访问应仅限于管理 IP 范围。当然,除非 IPTables 实现或 TCP 堆栈中存在错误,否则它应该相对不易受到攻击。
防火墙机器可以阻止和记录不应该存在的网络流量,为您提供有关系统破解的宝贵预警。
答案3
我认为这也取决于性能。基于软件/服务器的防火墙使用 CPU 周期完成的工作,硬件防火墙可以使用专用芯片 (ASIC) 完成,从而实现更好的性能和吞吐量。
答案4
从你的角度来看,“软件”(在机器本身上)和“硬件”防火墙之间的真正区别在于,在第一种情况下,流量已经在你想要保护的机器上了,所以潜在如果某些东西被忽视或者配置错误,就会更容易受到攻击。
硬件防火墙本质上充当预过滤器,只允许特定流量到达和/或离开您的服务器。
考虑到您的使用情况,当然假设您有适当的备份,额外的费用将很难证明是合理的。就我个人而言,我会继续使用您现有的服务,尽管也许会使用不同的托管公司。