假设我有一个更新良好的 Linux VPS,使用 apache 在端口 80 上提供 HTTP 内容。启用 IPtables 会给我带来什么好处?
由于机器有一个端口是开放的,因此我看不到任何隐蔽性增益。此外,由于机器不断更新,我相信内核可以安全地处理关闭端口上的传入请求,这是合理的,对吧?我到处都听说我需要启用 iptables,但我看不到任何好处。我遗漏了什么吗?
答案1
您说得对,当您只打开一个众所周知的端口/服务而其余端口/服务都关闭的情况下启用传入流量过滤在原则上不会给您带来太多好处。
话虽如此,设置防火墙是有理由的:
- 一致性/策略;现在,如果您/某人正在测试或错误地打开一项服务,则必须在防火墙规则中明确启用它。
- 增加了一个小的安全措施,以防出现漏洞或有新的恶意服务试图监听
- 封锁整个国家(如果您的网站主要针对您的国家,那么封锁来自通常有问题的国家的流量会很有帮助)
- 使用防火墙不仅可以阻止传入流量,例如使用较新的 iptables,您可以限制来自同一客户端的并发连接数,从而阻止滥用者抓取您的网站/恶意机器人、某些 DoS 攻击等
- 另一个不阻止传入流量的例子是:阻止传出流量,这也是一种额外的安全措施,以防你的服务器受到威胁
答案2
您可以轻松获得记录流量的能力。
您将获得另一层安全保障。(这是您在当今时代所希望的)
以供进一步阅读。
答案3
您使用的是 Ubuntu,它和 Debian 一样,有一个令人讨厌的坏习惯,即启用和启动安装到系统上的所有服务,无论这些服务是否需要。这增加了您的攻击面;您应该仔细检查是否有不需要的服务。
在这种情况下,防火墙可以帮助您确保只有您想要向公众开放的服务才真正可访问。