最近看了看 ArchWiki 的这一条目: https://wiki.archlinux.org/index.php/Simple_stateful_firewall ,想问问大家都是怎么配置防火墙的。
1
unixbeta 2016-01-02 10:06:33 +08:00 via iPhone
iptables ……
我们都是专业设备来做这些事 |
2
Mithrandir OP @unixbeta 硬件防火墙?你们难道不使用 iptables ?
|
3
k9982874 2016-01-02 10:26:03 +08:00 via iPhone
我是只开必要的端口, ssh 等敏感端口换端口,只开证书认证,装 fail2bab 。机房负责防 ddos 。比较皮毛。
同求大神指点。 |
4
holyzhou 2016-01-02 10:28:59 +08:00
分区域 ,各独立区域相互之间都是由硬件防火墙策略管理
iptables 更偏向单机设置,对于 vps 或者类 vps 的云机器这些倒是可以用用 , 企业内感觉最多也就用它写写开关端口的 acl ,做 nat 的情况都不多 |
5
smallfount 2016-01-02 10:29:39 +08:00
....直接上硬件啊...
内向外只开 80 跟 443.. 外向内就看 application 需要了....不过所有 web 应用都走 DMZ 的反向代理再进 VM |
6
Mithrandir OP @k9982874 转换端口的话用扫描工具一样可以检测出来的吧,可以再考虑端口隐藏什么的,上面的 wiki 里有讲这个
|
7
ooxxcc 2016-01-02 10:33:48 +08:00
非运维,在用 arno-iptables-firewall
用哪个端口开哪个 |
8
jings 2016-01-02 11:04:25 +08:00 via Android
窝来告诉你 不存在绝对防御,那如何防御呢?钱+人才 :托管。
|
9
Andy1999 2016-01-02 11:07:50 +08:00 via iPhone
禁用 UDP 、 ICMP ,然后端口 22 限制 10.0.0.0/8 登录
开放 80 443 其他一律 drop 本机开启软防脚本,超过一定请求数 ban 掉 Nginx 开启限制线程和单线程下载速度 |
10
billwang 2016-01-02 17:12:33 +08:00
难道不是有个运维系统,登录系统后点击服务器 ip 的 xshell 直接连接系统吗?
|
11
tinyproxy 2016-01-02 18:37:05 +08:00 via iPhone
@Andy1999 禁用 UDP 太绝对了。。。比如日志收集,中心化管理,用 tcp 不觉得太蛋疼了么
|
12
fuge 2016-01-03 15:14:39 +08:00 via iPhone
飞塔 200d
|
13
ayouwei 2016-01-04 18:10:54 +08:00
在大流量业务前面加防火墙就是自作的行为, 性能瓶颈是个大坑, 吹虚的再牛逼的商用硬件在这个场景下也是个渣;
安全要求高的特殊业务另说, 没有防火墙不让你搞的业务另说 |