是否真的有必要在已有防火墙/端口规则的网关路由器后面运行 UFW?
在此示例中,我讨论在 Natted 防火墙网关路由器后面的 Internet 可访问 (Linux) 服务器上运行 UFW。
请具体说明,不要因为外面有黑客就说是! (虽然这是有效的答案)
难道只是为了内部保护?如果是这样,我知道我可以信任我的 LAN,我可以不运行 UFW 吗?
答案1
归根结底,这是一个安全问题,而不是一个 unix/linux 问题。
从技术上讲,答案是否定的,没有必要运行它才能正常工作(取决于您正在运行的其他内容)。
我不在家里的网络上运行主机防火墙,因为我设置了调制解调器/路由器/接入点,不允许任何入站连接,并且像您一样,我“信任”我的家庭局域网。
然而,这是我的家兰。我对此没有什么有趣的数据,也没什么可说的吸引黑客,并且主要是防止驾车者的防御措施。
下一个威胁是通过您的网络浏览器传递的恶意代码。这确实意味着你不能相信您的家庭网络。在这种情况下,有人劫持了 Web 服务器(交叉视线脚本等),最终您的计算机上会出现某种机器人,然后它会扫描您的网络并进行复制。有一个政府设施,有一个机密的“秘密”网络(意味着其中的数据是机密的,而不是网络本身),该设施遭受了严重的感染,他们在摆脱该设施时遇到了严重的困难,因为他们的机器上的任何东西都在以同样快的速度传播因为他们可以重新塑造机器。然而,这几乎是 Active Directory 上的所有 Windows 计算机,都存在着单一文化和安全问题[1]。
也许这对你来说是个问题,也许不是。这就是你要做出的评价。
最终,在几乎没有打开入站端口的家庭网络上,运行最少的网络服务以及其他良好的安全实践,基于主机的防火墙不会提供显着的安全增益。
然而,在拥有任何类型的 PII 的企业中,您需要付出更多的努力。
这就是说。我们都应该运行基于主机的防火墙。我们应该知道计算机代表我们启动并处理哪些网络活动。
但又忙碌又分心...
答案2
除了 Petro 所说的之外,我认为这取决于你在 UFW 中运行的规则。我的看法是,我并不完全信任局域网内的任何工作站。工作站可能会感染后门病毒,从而使黑客能够从内到外攻击您的网络。因此,拥有一个可以阻止受感染的工作站攻击您的服务器的固件可能是值得的。另一方面,如果您要实施允许从任何 LAN 设备进行 ssh 等操作的规则,那么 UFW 的优势就会减弱。
我家里的 UTM 支持轻松实施 VLAN,这允许 UTM 检查并防火墙子网之间的流量。这使我能够将设备置于不同的信任级别。基于 Web 的服务器处于最低信任级别(实际上是 DMZ),KVM 主机位于单独的 VLAN 中作为最高信任级别,备份服务器位于专用 VLAN 上,最终用户设备位于第四个 VLAN 中。对于家庭来说太过分了,但这是我在工作中测试的设置,并将其保留在原处。