运维们出来讨论一下吧,你们的防火墙都是怎么配置的,你认为防火墙配置的最佳实践是什么

2016-01-02 09:49:24 +08:00
 Mithrandir

最近看了看 ArchWiki 的这一条目: https://wiki.archlinux.org/index.php/Simple_stateful_firewall ,想问问大家都是怎么配置防火墙的。

5811 次点击
所在节点    Linux
13 条回复
unixbeta
2016-01-02 10:06:33 +08:00
iptables ……
我们都是专业设备来做这些事
Mithrandir
2016-01-02 10:12:10 +08:00
@unixbeta 硬件防火墙?你们难道不使用 iptables ?
k9982874
2016-01-02 10:26:03 +08:00
我是只开必要的端口, ssh 等敏感端口换端口,只开证书认证,装 fail2bab 。机房负责防 ddos 。比较皮毛。
同求大神指点。
holyzhou
2016-01-02 10:28:59 +08:00
分区域 ,各独立区域相互之间都是由硬件防火墙策略管理
iptables 更偏向单机设置,对于 vps 或者类 vps 的云机器这些倒是可以用用 , 企业内感觉最多也就用它写写开关端口的 acl ,做 nat 的情况都不多
smallfount
2016-01-02 10:29:39 +08:00
....直接上硬件啊...
内向外只开 80 跟 443..
外向内就看 application 需要了....不过所有 web 应用都走 DMZ 的反向代理再进 VM
Mithrandir
2016-01-02 10:31:17 +08:00
@k9982874 转换端口的话用扫描工具一样可以检测出来的吧,可以再考虑端口隐藏什么的,上面的 wiki 里有讲这个
ooxxcc
2016-01-02 10:33:48 +08:00
非运维,在用 arno-iptables-firewall

用哪个端口开哪个
jings
2016-01-02 11:04:25 +08:00
窝来告诉你 不存在绝对防御,那如何防御呢?钱+人才 :托管。
Andy1999
2016-01-02 11:07:50 +08:00
禁用 UDP 、 ICMP ,然后端口 22 限制 10.0.0.0/8 登录
开放 80 443 其他一律 drop
本机开启软防脚本,超过一定请求数 ban 掉
Nginx 开启限制线程和单线程下载速度
billwang
2016-01-02 17:12:33 +08:00
难道不是有个运维系统,登录系统后点击服务器 ip 的 xshell 直接连接系统吗?
tinyproxy
2016-01-02 18:37:05 +08:00
@Andy1999 禁用 UDP 太绝对了。。。比如日志收集,中心化管理,用 tcp 不觉得太蛋疼了么
fuge
2016-01-03 15:14:39 +08:00
飞塔 200d
ayouwei
2016-01-04 18:10:54 +08:00
在大流量业务前面加防火墙就是自作的行为, 性能瓶颈是个大坑, 吹虚的再牛逼的商用硬件在这个场景下也是个渣;

安全要求高的特殊业务另说, 没有防火墙不让你搞的业务另说

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/247754

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX