電梯inode 是在 AWS 之前創建的原始雲平台。當時,它被稱為 VPS(虛擬專用服務器)。最近他們添加了一個新的防火牆功能來控制對我的 Linode 的網絡訪問 來自云端的服務器讓我們對 Linode 雲防火牆進行測試。
什麼是 Linode 雲防火牆?
防火牆只不過是一個簡單的規則,可以過濾掉到達 Linux 服務器或網絡的惡意流量。根據需要使用防火牆阻止和允許網絡流量。例如,您可以只允許某些 IP 地址通過 SSH 登錄。當然,您需要在每台 Linux 服務器上啟用並安裝這樣的防火牆。雲防火牆在網絡層面扮演同樣的角色。因此可以達到或拒絕流量。您可以輕鬆控制數據包流。您可以為您的服務器設置入站和出站規則。
但是linux服務器沒有iptables、ufw、firewalld?
許多開發人員、新聞 Linux 系統管理員和用戶發現 iptables 語法很困難。許多人最終使用了錯誤的防火牆策略,給人一種錯誤的安全感和錯誤的安全感。因此,您可以使用雲防火牆來保護您的服務器。也稱為防火牆即服務 (FWaaS),它將 IP 數據包過濾外包給 Linode 防火牆。當然,您可以將雲防火牆與 iptables 結合使用。在某些情況下,您仍然需要 iptables。例如,Linux 容器和基於 Docker 的應用程序需要 NAT 規則才能將流量重定向到正確的容器。
試駕 Linode 雲防火牆
添加 Linode 防火牆很容易。 登錄 Linode Manager 並從左側菜單[ファイアウォール]選擇。[ファイアウォールの追加]點擊。 CLI 選項也可用。
Linode 防火牆帶有適當的入站規則,默認情況下允許 DNS 和 SSH 流量。如果未設置出站規則,則默認允許來自 Linux 服務器的所有流量。
由於我們將託管一個網站,因此我們需要打開 TCP 443 (HTTPS) 和 80 (HTTP) 端口。您可以打開任意端口來控制對特定 IP 地址的訪問或允許任何人使用您的網站。
將 SSH 流量限製到公共 IP 地址,例如 OpenVPN 或 Wireguard CIDR 10.8.1.0/24 或 1.2.3.4。
默認情況下,乒乓球請求被阻止。讓我們相處,讓 ICMP 使用自定義規則。
Linode 出站規則根據配置的端口和目標限制來自 Linode 服務的出站網絡連接。默認情況下,允許來自服務器的所有出站請求,但我決定加強我的 IP 安全策略。最後它看起來像這樣:
但是,它缺少兩個功能:
- SSH 或其他端口的速率限制。例如,拒絕來自在過去 30 秒內嘗試啟動 6 個或更多連接的 IP 地址的連接。功能會很好。
- 我還想為自定義規則顯示一個自定義註釋文本框。 假設您需要檢查 UDP/1194 入站規則的配置。
我希望這兩個小功能將增加和改進產品。
如何檢查 Linode 雲防火牆設置的 IP 策略
在 Linux 或 macOS/BSD 桌面上使用 nmap 命令。sudo nmap your-linode-ip-here
示例輸出:
Nmap scan report for li2xyz-abc.members.linode.com (172.10z.xxx.yyy) Host is up (0.016s latency). Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp closed http 443/tcp closed https
添加
總的來說,我們發現用戶界面易於使用,非常適合新的 Linux 開發人員或系統管理員。外包雲防火牆消除了設置有效 IP 策略的猜測。我總是喜歡關閉所有窗口並打開所需 TCP/UDP 端口的 IP 策略方法。安全對我來說就像洋蔥。 需要各種層來保護網站或應用程序。所以,除了 Linode Cloud Firewall,還需要安裝 WAF(Web Application Firewall),比如 Nginx 的 ModSecurity 或 Apache。 快速、AWS等雲防火牆。 不要忘記檢查您的 Linode 防火牆 提供更多信息的文檔.
免責聲明:Linode 自 2017 年以來一直是 nixCraft 的企業贊助商。我作為一個快樂的用戶寫這篇評論,並將它們推薦給我所有的客戶和博客訪問者。
