共享防火牆還是多個客戶端特定的防火牆?
我正在嘗試確定是否可以為我的整個網路(包括客戶伺服器)使用單個防火牆,或者是否每個客戶都應該擁有自己的防火牆。我發現許多託管公司要求每個帶有伺服器集群的客戶端都有自己的防火牆。如果你需要一個 web 節點和一個數據庫節點,你還必須得到一個防火牆,並為它支付另一個月費。
我有幾個 KVM 虛擬化伺服器的託管空間,為許多不同的客戶託管 VPS 服務。每個 KVM 主機都執行一個軟體 iptables 防火牆,它只允許在每個 VPS 上訪問特定埠。我可以控制任何給定 VPS 打開了哪些埠,允許從埠 80 和 443 上的任何位置訪問 Web VPS,但將數據庫 VPS 完全阻止到外部,只允許某個其他 VPS 訪問它。該配置非常適合我目前的需求。
請注意,此時沒有保護虛擬化主機的硬體防火牆。但是,KVM 主機只開放了 22 埠,除了 KVM 和 SSH 之外什麼都沒有執行,甚至除了 netblock 內部之外,甚至無法訪問 22 埠。
我正在考慮重新考慮我的網路,因為我有一個需要從單個 VPS 轉換到兩個專用伺服器(一個 Web 和一個 DB)的客戶端。一個不同的客戶已經有一個單獨的專用伺服器,它不在任何防火牆後面,除了系統上執行的 iptables。
我應該要求每個專用伺服器客戶都有自己的專用防火牆嗎?或者我可以為多個客戶集群使用單個網路範圍的防火牆嗎?
我熟悉 iptables,目前正在考慮將它用於我需要的任何防火牆/路由器。但我不一定要為每個防火牆佔用機架中 1U 的空間,也不一定要佔用每個防火牆伺服器的功耗。所以我正在考慮硬體防火牆。關於什麼是好方法的任何建議?
我認為,如果您是唯一控制防火牆的人,並且客戶不希望能夠進行更改,那麼您當然可以使用單個防火牆。
您可以在每台主機上使用 iptables,但是我從不喜歡這種方法,因為在故障排除時會引入太多變數。
祝你好運!
把事情簡單化。一個防火牆就可以完成這項工作。然後你需要一個防火牆。