Ubuntu
如果通過伺服器提供商設置防火牆,是否需要伺服器防火牆(即 UFW)?
例如,如果我通過 DigitalOcean 有一個 Ubuntu 伺服器,如果通過 DigitalOCean 的 UI 設置防火牆來控制該伺服器的入站和出站流量,是否還需要啟用和配置 UFW?它們在功能上做同樣的事情嗎?這個比那個好嗎?
“基於主機的防火牆”是您使用 UFW 管理的防火牆規則的更通用術語。它們與“網路防火牆”互補,該防火牆獨立於基於主機的防火牆進行配置。網路防火牆可以是例如實際的防火牆設備、路由器/交換機中的 ACL 或虛擬網路中的安全組等。恕我直言,一個並不比另一個好,您應該同時擁有兩者。
但是,雖然兩個總比一個好,但同時擁有兩者也會使連接問題的故障排除變得更加困難。
同時擁有“網路防火牆”和“基於主機的防火牆”的基本安全概念是“深度防禦”。
維基百科的定義提供了一個很好的總結:
縱深防禦是資訊安全中使用的一個概念,其中多層安全控制(防禦)被放置在整個資訊技術 (IT) 系統中。其目的是在安全控制失敗或漏洞被利用的情況下提供冗餘,這可能涵蓋系統生命週期期間的人員、程序、技術和物理安全等方面。
舉一個不太抽象的例子:如果有人破壞了您的伺服器並獲得了 root 訪問權限,他們也將有足夠的權限來完全禁用基於主機的防火牆或插入他們自己的自定義規則。在這種情況下,網路防火牆仍將強制執行您的安全策略。