V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Mithrandir
V2EX  ›  Linux

运维们出来讨论一下吧,你们的防火墙都是怎么配置的,你认为防火墙配置的最佳实践是什么

  •  
  •   Mithrandir · 2016-01-02 09:49:24 +08:00 · 5780 次点击
    这是一个创建于 3249 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近看了看 ArchWiki 的这一条目: https://wiki.archlinux.org/index.php/Simple_stateful_firewall ,想问问大家都是怎么配置防火墙的。

    13 条回复    2016-01-04 18:10:54 +08:00
    unixbeta
        1
    unixbeta  
       2016-01-02 10:06:33 +08:00 via iPhone
    iptables ……
    我们都是专业设备来做这些事
    Mithrandir
        2
    Mithrandir  
    OP
       2016-01-02 10:12:10 +08:00
    @unixbeta 硬件防火墙?你们难道不使用 iptables ?
    k9982874
        3
    k9982874  
       2016-01-02 10:26:03 +08:00 via iPhone
    我是只开必要的端口, ssh 等敏感端口换端口,只开证书认证,装 fail2bab 。机房负责防 ddos 。比较皮毛。
    同求大神指点。
    holyzhou
        4
    holyzhou  
       2016-01-02 10:28:59 +08:00
    分区域 ,各独立区域相互之间都是由硬件防火墙策略管理
    iptables 更偏向单机设置,对于 vps 或者类 vps 的云机器这些倒是可以用用 , 企业内感觉最多也就用它写写开关端口的 acl ,做 nat 的情况都不多
    smallfount
        5
    smallfount  
       2016-01-02 10:29:39 +08:00
    ....直接上硬件啊...
    内向外只开 80 跟 443..
    外向内就看 application 需要了....不过所有 web 应用都走 DMZ 的反向代理再进 VM
    Mithrandir
        6
    Mithrandir  
    OP
       2016-01-02 10:31:17 +08:00
    @k9982874 转换端口的话用扫描工具一样可以检测出来的吧,可以再考虑端口隐藏什么的,上面的 wiki 里有讲这个
    ooxxcc
        7
    ooxxcc  
       2016-01-02 10:33:48 +08:00
    非运维,在用 arno-iptables-firewall

    用哪个端口开哪个
    jings
        8
    jings  
       2016-01-02 11:04:25 +08:00 via Android
    窝来告诉你 不存在绝对防御,那如何防御呢?钱+人才 :托管。
    Andy1999
        9
    Andy1999  
       2016-01-02 11:07:50 +08:00 via iPhone
    禁用 UDP 、 ICMP ,然后端口 22 限制 10.0.0.0/8 登录
    开放 80 443 其他一律 drop
    本机开启软防脚本,超过一定请求数 ban 掉
    Nginx 开启限制线程和单线程下载速度
    billwang
        10
    billwang  
       2016-01-02 17:12:33 +08:00
    难道不是有个运维系统,登录系统后点击服务器 ip 的 xshell 直接连接系统吗?
    tinyproxy
        11
    tinyproxy  
       2016-01-02 18:37:05 +08:00 via iPhone
    @Andy1999 禁用 UDP 太绝对了。。。比如日志收集,中心化管理,用 tcp 不觉得太蛋疼了么
    fuge
        12
    fuge  
       2016-01-03 15:14:39 +08:00 via iPhone
    飞塔 200d
    ayouwei
        13
    ayouwei  
       2016-01-04 18:10:54 +08:00
    在大流量业务前面加防火墙就是自作的行为, 性能瓶颈是个大坑, 吹虚的再牛逼的商用硬件在这个场景下也是个渣;

    安全要求高的特殊业务另说, 没有防火墙不让你搞的业务另说
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2891 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 09:03 · PVG 17:03 · LAX 01:03 · JFK 04:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.