当我在家庭环境中设置某个应用程序时,要通过互联网从外部访问该应用程序,我需要在路由器中打开端口。那么,如果我在租用的数据中心托管应用程序,是否也需要这样做?我说的不是在我的服务器防火墙中打开端口,而是路由器防火墙。如果需要,谁来做这个配置,或者我需要向数据中心发出请求来为我的应用程序打开端口?
答案1
通常,当您在 DC 中托管时,您只需在服务器上配置防火墙。但是,一些云提供商(例如 AWS)还具有上游防火墙,你需要配置。
答案2
许多托管服务提供商主要使用他们的路由器来路由流量,并会给你一个有效地未过滤的直接互联网上行链路和防火墙将是您需要激活或专门订购的额外设备/服务(可能需要额外付费)。
其他提供商可能会默认使用安全配置,并会拒绝所有流量,直到您明确允许。
如果是这两种情况,通常您还可以直接配置规则集或防火墙本身。
但是托管服务提供商提供哪些服务应该在注册表或产品描述中要清楚说明。
诚然,有时防火墙政策的措辞可能有所不同,并隐藏在技术限制、已知问题、条款和条件或可接受使用政策中。例如,为了防止滥用,托管服务提供商将(也)过滤所有/特定客户的端口和/或服务,或者由于设计选择/技术限制,一些不太常见的协议(甚至可能所有非 ICMP、UDP 或 TCP/IP 的都不受支持)。
我目前的一位供应商表示,虽然没有真正使用这个词“防火墙”,其政策如下:
- 提供者是有权主动阻止端口或 IP 地址对于网络,如果提供商合理认为有必要维护或保护网络或互联网或万维网的安全和性能。
客户可以书面形式向提供商索取被阻止端口或 IP 地址的概览。- 在不影响可接受使用政策第 xy 条的一般性的前提下,提供商应在任何情况下主动阻止以下端口 网络方面:
- UDP/137-Netbios;
- UDP/139——Netbios;
- TCP/135-139 – Netbios;
- TCP/445 – SMB。
- 如果提供商有合理理由怀疑客户遭受或参与 DoS 攻击、DDoS 攻击、DRDoS 攻击或其他攻击,且(提供商合理认为)此类攻击对基础设施造成负面影响,则提供商有权立即阻止对客户基础设施的访问。