電梯Inode 是在 AWS 之前創建的原始雲平台。當時,我們稱它們為 VPS(Virtual Private Server)。最近他們添加了一個新的防火牆功能來控制對我的 Linode 的網絡訪問 來自云端的服務器試試 .Linode 雲防火牆。
什麼是 Linode 雲防火牆?
防火牆只是一個簡單的規則,用於排除到達 Linux 服務器或網絡的惡意流量。根據需要使用防火牆阻止和允許 Web 流量。例如,您可以只允許通過 SSH 登錄到特定的 IP 地址。當然,您需要為每台 Linux 服務器啟用並安裝這樣的防火牆。雲防火牆在網絡層面扮演同樣的角色。因此,流量可以達到或拒絕。您可以輕鬆控制數據包流。您可以為您的服務器設置入站和出站規則。
但是 Linux 服務器有 iptables、ufw、firewalld 嗎?
許多開發人員、新聞 Linux 系統管理員和用戶發現 iptables 語法很困難。很多人設置了錯誤的防火牆策略,給了他們錯誤的安全感和錯誤的安全感。因此,您可以使用雲防火牆來保護您的服務器。這也稱為防火牆即服務 (FWaaS),並將 IP 數據包過濾外包給 Linode 防火牆。當然,您可以將雲防火牆與 iptables 結合使用。在某些情況下,您仍然需要 iptables。例如,Linux 容器和基於 Docker 的應用程序需要 NAT 規則才能將流量重定向到正確的容器。
Linode雲防火牆試駕
添加 Linode 防火牆很容易。 我登錄到 Linode Manager 並從左側菜單中選擇防火牆。[ファイアウォールの追加]點擊。 您還可以使用 CLI 選項。
Linode 防火牆配置了適當的入站規則,默認情況下允許 DNS 和 SSH 流量。如果未配置出站規則,則默認允許來自 Linux 服務器的所有流量。
由於您正在託管一個網站,因此您需要打開 TCP 443 (HTTPS) 和 80 (HTTP) 端口。您可以打開任何端口來控制對特定 IP 地址的訪問或使網站可供所有用戶使用。
將 SSH 流量限製到公共 IP 地址,例如 OpenVPN 或 Wireguard CIDR10.8.1.0/24 或 1.2.3.4。
默認情況下,乒乓請求被阻止。相處融洽並允許 ICMP 使用自定義規則。
Linode 出站規則根據您配置的端口和目標限制來自 Linode 服務的出站網絡連接。默認情況下,允許來自服務器的所有出站請求,但我們決定加強我們的 IP 安全策略。最後,它看起來像這樣:
但是,它沒有以下兩個功能。
- SSH 或其他端口速率限制。例如,拒絕來自在過去 30 秒內嘗試啟動超過 6 個連接的 IP 地址的連接。功能很簡潔。
- 我還想為自定義規則顯示自定義評論文本框。 假設您需要檢查 UDP/1194 入站規則的設置。
希望他們添加這兩個小功能,它會使產品更好。
如何查看 Linode 雲防火牆設置的 IP 策略
在 Linux 或 macOS / BSD 桌面上使用 nmap 命令。sudo nmap your-linode-ip-here
樣本輸出:
Nmap scan report for li2xyz-abc.members.linode.com (172.10z.xxx.yyy) Host is up (0.016s latency). Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp closed http 443/tcp closed https
全部的
總體而言,用戶界面易於使用,非常適合新的 Linux 開發人員和系統管理員。外包雲防火牆消除了有效 IP 策略設置的猜測。我總是喜歡關閉所有窗口並打開所需的 TCP/UDP 端口的 IP 策略方法。安全對我來說就像洋蔥。 需要不同的層來保護網站或應用程序。因此,除了 Linode Cloud Firewall,還需要安裝 Nginx Mod Security 和 Apache 等 WAF(Web Application Firewall)。 DoS / DDoS 攻擊和機器人控制需要 Cloudflare 提供的分佈式 WAF(Web 應用程序防火牆)。 快速、AWS等雲防火牆。 不要忘記檢查 Linode 防火牆 提供詳細信息的文件..
免責聲明:Linode 自 2017 年以來一直是 nixCraft 的企業贊助商。我作為一個快樂的用戶寫這篇評論,並將它們推薦給所有客戶和博客訪問者。