硬體防火牆與。軟體防火牆(IP 表,RHEL)
我的託管公司說 IPTables 沒用,不提供任何保護。這是謊言嗎?
TL;DR
我有兩台位於同一地點的伺服器。昨天我的 DC 公司聯繫我告訴我,因為我使用的是軟體防火牆,所以我的伺服器“容易受到多種嚴重的安全威脅”,而我目前的解決方案提供“無法抵禦任何形式的攻擊”。
他們說我需要一個專用的思科防火牆( $ 1000 installation then $ 每個月200 次)以保護我的伺服器。我一直認為,雖然硬體防火牆更安全,但 RedHat 上的 IPTables 為普通伺服器提供了足夠的保護。
兩台伺服器都只是網路伺服器,它們沒有什麼特別重要的,但我使用 IPTables 將 SSH 鎖定到我的靜態 IP 地址並阻止除基本埠(HTTP(S)、FTP 和其他一些標準服務之外的所有內容) )。
我不會安裝防火牆,如果伺服器的乙太被黑客入侵,那將是一種不便,但它們執行的只是一些 WordPress 和 Joomla 網站,所以我絕對不認為它值得花錢。
硬體防火牆也在執行軟體,唯一真正的區別是該設備是專門建構的並且專用於任務。如果配置正確,伺服器上的軟體防火牆可以與硬體防火牆一樣安全(請注意,硬體防火牆通常“更容易”達到那個級別,而軟體防火牆“更容易”搞砸)。
如果您執行的是過時的軟體,則可能存在已知漏洞。雖然您的伺服器可能容易受到這種攻擊媒介的影響,但說它不受保護是煽動性的、誤導性的或粗體謊言(取決於他們所說的確切內容以及他們的意思)。無論被利用的可能性如何,您都應該更新軟體並修補任何已知漏洞。
說 IPTables 無效的說法充其量只是一種誤導。儘管如此,如果一個規則是**允許從所有到所有的一切,**那麼是的,它根本不會做任何事情。
旁注:我所有的個人伺服器都是由 FreeBSD 驅動的,並且只使用 IPFW(內置軟體防火牆)。這個設置我從來沒有遇到過問題;我也遵循安全公告,從未發現此防火牆軟體有任何問題。
在工作中,我們有層層安全;邊緣防火牆過濾掉所有明顯的垃圾(硬體防火牆);內部防火牆過濾網路上單個伺服器或位置的流量(主要是軟體和硬體防火牆的混合)。
對於任何類型的複雜網路,分層安全性是最合適的。對於像您這樣的簡單伺服器,擁有一個單獨的硬體防火牆可能會帶來一些好處,但很少。