研究高级防火墙策略 (APF) 与暴力检测系统 (BFD) 以及 Fail2Ban 之间的区别,我找不到太多发现。它们使用不同的方法,同时这两种解决方案本质上做同样的事情 - 它们分析日志文件并根据预定模式通过 iptables 阻止违规 IP。
尽管如此,还是有很多教程解释了如何在同一个系统上设置 APF 和 Fail2Ban,这样它们就不会覆盖 iptables 中彼此的条目。我很困惑:为什么要安装两个做同样事情的防火墙?还是我遗漏了什么?它们互相补充吗?它们是否有其他解决方案无法做到的事情?
答案1
它们可以互相补充,因为它们可以测试不同的违规行为。虽然 Fail2ban 和暴力破解检测(BFD) 本质上具有相同的用途,APF 可以做其他的事情。
高级策略防火墙(APF)监控连接的内容,而不是日志文件。基于连接的状态策略检查数据包是否与连接协议匹配,并且基于理智的政策丢弃已知的攻击模式和可能用于攻击的畸形数据包。
Fail2ban扫描日志文件(例如
/var/log/apache/error_log)并禁止显示恶意迹象的 IP(密码错误次数过多、寻求漏洞等)。通常,Fail2Ban 用于更新防火墙规则,以在指定的时间内拒绝 IP 地址,