例如,如果我通过 DigitalOcean 拥有一台 Ubuntu 服务器,并且通过 DigitalOCean 的 UI 设置了防火墙来控制该服务器的入站和出站流量,是否还需要启用和配置 UFW?它们在功能上做同样的事情吗?其中一个比另一个更好吗?
答案1
“基于主机的防火墙”是您使用 UFW 管理的防火墙规则的更通用术语。它们与“网络防火墙”相辅相成,后者独立于基于主机的防火墙进行配置。网络防火墙可以是实际的防火墙设备、路由器/交换机中的 ACL 或虚拟网络中的安全组等。在我看来,两者并不比孰优孰劣,您应该同时拥有两者。
尽管两个比一个好,但同时拥有两个也会使解决连接问题变得更加困难。
同时拥有“网络防火墙”和“基于主机的防火墙”的底层安全概念是纵深防御。
这维基百科定义提供了很好的总结:
纵深防御是信息安全中的一个概念,即在整个信息技术 (IT) 系统中设置多层安全控制(防御)。其目的是在安全控制失效或漏洞被利用时提供冗余,以覆盖系统生命周期内人员、程序、技术和物理安全的各个方面。
举一个不太抽象的例子:如果有人入侵您的服务器并获得 root 访问权限,他们也将拥有足够的权限来完全禁用基于主机的防火墙或插入他们自己的自定义规则。在这种情况下,网络防火墙仍将执行您的安全策略。