Linode 雲防火牆:需要保護您的 Linux 服務器? -Linux技術博客


電梯Inode 是在 AWS 之前創建的原始雲平台。當時,我們稱它們為 VPS(Virtual Private Server)。最近他們添加了一個新的防火牆功能來控制對我的 Linode 的網絡訪問 來自云端的服務器試試 .Linode 雲防火牆。

什麼是 Linode 雲防火牆?

防火牆只是一個簡單的規則,用於排除到達 Linux 服務器或網絡的惡意流量。根據需要使用防火牆阻止和允許 Web 流量。例如,您可以只允許通過 SSH 登錄到特定的 IP 地址。當然,您需要為每台 Linux 服務器啟用並安裝這樣的防火牆。雲防火牆在網絡層面扮演同樣的角色。因此,流量可以達到或拒絕。您可以輕鬆控制數據包流。您可以為您的服務器設置入站和出站規則。

但是 Linux 服務器有 iptables、ufw、firewalld 嗎?

許多開發人員、新聞 Linux 系統管理員和用戶發現 iptables 語法很困難。很多人設置了錯誤的防火牆策略,給了​​他們錯誤的安全感和錯誤的安全感。因此,您可以使用雲防火牆來保護您的服務器。這也稱為防火牆即服務 (FWaaS),並將 IP 數據包過濾外包給 Linode 防火牆。當然,您可以將雲防火牆與 iptables 結合使用。在某些情況下,您仍然需要 iptables。例如,Linux 容器和基於 Docker 的應用程序需要 NAT 規則才能將流量重定向到正確的容器。

Linode雲防火牆試駕

添加 Linode 防火牆很容易。 我登錄到 Linode Manager 並從左側菜單中選擇防火牆。[ファイアウォールの追加]點擊。 您還可以使用 CLI 選項。

Linode雲防火牆

Linode 防火牆配置了適當的入站規則,默認情況下允許 DNS 和 SSH 流量。如果未配置出站規則,則默認允許來自 Linux 服務器的所有流量。

Linode雲防火牆入站和出站規則

由於您正在託管一個網站,因此您需要打開 TCP 443 (HTTPS) 和 80 (HTTP) 端口。您可以打開任何端口來控制對特定 IP 地址的訪問或使網站可供所有用戶使用。

使用 Linode 防火牆允許 HTTP 和 HTTPS 連接

將 SSH 流量限製到公共 IP 地址,例如 OpenVPN 或 Wireguard CIDR10.8.1.0/24 或 1.2.3.4。

SSHLinode 防火牆規則

默認情況下,乒乓請求被阻止。相處融洽並允許 ICMP 使用自定義規則。

乒乓 icmp

Linode 出站規則根據您配置的端口和目標限制來自 Linode 服務的出站網絡連接。默認情況下,允許來自服務器的所有出站請求,但我們決定加強我們的 IP 安全策略。最後,它看起來像這樣:

最終防火牆策略

但是,它沒有以下兩個功能。

  1. SSH 或其他端口速率限制。例如,拒絕來自在過去 30 秒內嘗試啟動超過 6 個連接的 IP 地址的連接。功能很簡潔。
  2. 我還想為自定義規則顯示自定義評論文本框。 假設您需要檢查 UDP/1194 入站規則的設置。

希望他們添加這兩個小功能,它會使產品更好。

如何查看 Linode 雲防火牆設置的 IP 策略

在 Linux 或 macOS / BSD 桌面上使用 nmap 命令。
sudo nmap your-linode-ip-here

樣本輸出:

Nmap scan report for li2xyz-abc.members.linode.com (172.10z.xxx.yyy)
Host is up (0.016s latency).
Not shown: 998 filtered ports
PORT    STATE  SERVICE
80/tcp  closed http
443/tcp closed https

全部的

總體而言,用戶界面易於使用,非常適合新的 Linux 開發人員和系統管理員。外包雲防火牆消除了有效 IP 策略設置的猜測。我總是喜歡關閉所有窗口並打開所需的 TCP/UDP 端口的 IP 策略方法。安全對我來說就像洋蔥。 需要不同的層來保護網站或應用程序。因此,除了 Linode Cloud Firewall,還需要安裝 Nginx Mod Security 和 Apache 等 WAF(Web Application Firewall)。 DoS / DDoS 攻擊和機器人控制需要 Cloudflare 提供的分佈式 WAF(Web 應用程序防火牆)。 快速、AWS等雲防火牆。 不要忘記檢查 Linode 防火牆 提供詳細信息的文件..

免責聲明:Linode 自 2017 年以來一直是 nixCraft 的企業贊助商。我作為一個快樂的用戶寫這篇評論,並將它們推薦給所有客戶和博客訪問者。