全球大流行迫使许多人呆在家里,并给了他们足够的空闲时间来启动他们考虑了很久的项目。由于虚拟专用服务器 (VPS)在负担得起的共享计划和强大的专用服务器之间提供了最佳环境,因此许多新网站所有者在逻辑上认为它们是一个很好的选择。管理虚拟服务器包括用户更加亲力亲为的方法,其中一项基本任务是设置 VPS 防火墙。让我们澄清一些围绕此事的困惑。
VPS 安全的重要性
新手网站管理员的浪潮对黑客来说是个好消息。有大量可供选择的新目标,其中许多还没有准备好应对现代威胁形势所带来的任何影响。
攻击这些新网站的动机也很好。许多崭露头角的项目都围绕电子商务商业模式展开,因此成功的攻击可能会让黑客未经授权访问敏感(和有价值的)数据。即使情况并非如此,受感染的虚拟服务器也会为进一步的攻击提供一个启动板。许多 VPS 用户都知道防火墙是他们最基本和最重要的防御机制之一。但他们知道它是如何工作的吗?他们可以在没有专业帮助的情况下进行设置吗?
什么是 VPS 防火墙?
防火墙是一种网络安全系统,它使用预先确定的规则来过滤传入和传出的流量。它检查您的 VPS 与外部世界之间交换的请求,并阻止那些看起来可疑的请求。在Web 托管服务器的上下文中,防火墙是阻止暴力攻击、DDoS、端口扫描等攻击以及可能导致服务中断或服务器接管的各种其他威胁的最简单方法。
但是防火墙只有在正确配置时才有用。例如,总共有65,535 个 TCP 和 UDP 网络端口。您的服务器只使用其中的一小部分。正确配置的防火墙将阻止与任何合法服务未使用的端口的所有连接。VPS 防火墙还将对服务的使用方式有严格的规定。例如,假设它发现单个 IP 地址正在生成异常数量的流量。正确配置的防火墙将在 IP 开始占用服务器资源并损害其性能之前阻止它。
该技术自1980 年代就已经存在,如今,大多数计算机和服务器都受到防火墙的保护。对于可以想象的每种设置,都有免费和高级的解决方案。其中一些与操作系统本身集成,而另一些则作为第三方产品提供。大多数用于虚拟主机的 VPS 解决方案都在Linux上运行,因此今天的指南将重点介绍开源操作系统的基本要素。
以下是一些最流行的Linux 防火墙:
iptables
iptables 被集成到大多数 Linux 发行版中。它已经存在了一段时间,并且已经证明自己是一种轻量级但功能强大的过滤 Linux 系统流量的解决方案。多年来,Iptables 已经发展了很多。起初,它只能将策略应用于传入的数据包,但其模块化架构允许开发人员多年来极大地扩展其功能。目前,iptables 被认为是最灵活的防火墙之一。这在很大程度上归功于诸如在许多不同级别上工作的能力及其备份和恢复支持等特性。唯一的缺点是,iptables 只能通过命令行界面进行配置,许多用户觉得很难理解。
Nftables
Nftables 被称为iptables 的继任者。它由同一个团队构建,并提供对IPv4 和 IPv6的开箱即用支持 。与 iptables 一样,它只能通过终端进行配置。幸运的是,它为用户提供了更易读的语法。这意味着想要使用操作系统内置防火墙的服务器所有者应该可以更轻松地设置所有内容。尽管像CentOS 8这样的发行版已经实现了 nftables,但它仍然远没有 iptables 那样普遍。尽管如此,预计它最终会成为 默认的 Linux 防火墙,因此您可能希望尽快开始熟悉它。
UFW
另一个试图让用户的生活更轻松的防火墙解决方案是简单防火墙(或 UFW)。该解决方案已集成到 现代 Ubuntu 版本中,尽管并非在所有软件存储库中都可用 - 也可以将其安装在其他 Linux 发行版上。您可以找到允许您通过 图形用户界面( GUI ) 配置 UFW 的服务。更直接的管理并不是 UFW 的唯一优势。它还为用户提供了IPv6 支持、阻止一系列 IP的能力以及限制对某些端口的访问等功能。
配置服务器防火墙
ConfigServer 防火墙或 CSF是 Linux 服务器最流行的防火墙解决方案之一。它是免费的,并使用 iptables 作为框架,这意味着它在大多数 Linux 发行版上的配置非常简单。这个防火墙的功能也相当丰富。
CSF 具有专门设计用于针对SYN 泛洪和端口扫描提供有效保护 的机制。特别值得注意的是登录失败守护程序——该功能会定期检查暴力尝试并在发现潜在攻击证据时阻止犯罪者的 IP。
虽然令人印象深刻的功能集使其与许多其他防火墙解决方案不同,但对于大多数人来说,CSF 的主要卖点是它与流行的网络托管控制面板的无缝集成。cPanel/WHM、Webmin和DirectAdmin的用户不需要使用命令行界面来配置 CSF。相反,他们可以从控制面板内部管理防火墙规则。除此之外,CSF 的 GUI 插件还允许他们查看详细的统计数据并得出有关潜在攻击模式的结论。
pfSense
PfSense 是一个强大的路由平台,可用作防火墙、路由器、DHCP和DNS 服务器。
作为防火墙,其 pfSense 的功能包括:
- 基于源和目标 IP 的过滤系统
- 协议和端口
- WAP 和 VPN 端点功能
- 关于服务器的实时信息源
- 平衡输出和输入负载的能力
有状态的数据包检查器在让每个数据包通过之前会对其进行更深入的研究。此外,预设的规则配置文件和每个接口的配置为 pfSense 提供了更大的灵活性。
护墙
Shorewall 是另一个适用于 Linux 的开源防火墙解决方案。它使用Netfilter,一个内置在 Linux 内核中的框架来跟踪连接和过滤数据包。该解决方案支持一系列路由器、防火墙和网关应用程序。
在 Shorewall 功能中,您会发现:
- 灵活的地址管理支持
- 将单个 IP 和子网列入黑名单的能力
- VPN 支持
- 流量整形和计费
- IPv6 支持和与一系列虚拟化技术的轻松集成
寻找带有 GUI 的防火墙的用户应该知道 Shorewall 很好地集成到了Webmin 控制面板中。
如何设置 VPS 防火墙
安装和配置防火墙通常需要对服务器进行 root 访问,并且不可避免地涉及一些许多人不习惯的命令行工作。然而,正如在 Linux VPS 上安装 CSF 的步骤将向您展示的那样,没有什么太难或太复杂的了。
这是您需要做的:
1. 导航到usr/src并下载 CSF
您需要使用的命令是:
cd /usr/src/
wget https://download.configserver.com/csf.tgz
您的 VPS 会自动从官方网站下载 CSF 的最新版本,并将其放置在/usr/src/目录中。
2. 提取CSF档案
以下命令将提取 csf.tgz 存档中的所有文件:
tar xzf csf.tgz
3. 进入 CSF 的目录并运行安装程序
您需要使用的命令是:
cd csf
sh install.sh
运行它,您将启动 CSF 的安装程序。在安装应用程序之前,它将首先检查所有先决条件是否存在。如果遇到严重错误,您可能需要在继续之前 安装Perl和libwww 。
默认情况下,它们应该在所有受支持的 Linux 发行版上都可用,但如果它们不可用 - 您需要使用的命令是:
yum install perl-libwww-perl – 用于基于 RHEL 的发行版
apt install libwww-perl – 用于基于 Debian 的发行版。
4. 禁用任何现有的防火墙并配置CSF
如果您的计算机上正在运行任何其他防火墙实用程序,您可能需要使用 systemctl 命令禁用它们。CSF 的配置位于/etc/csf/csf.conf中,如果您使用受支持的 Web 托管控制面板之一 - 您可以从那里启用和管理防火墙。
幸运的是,CSF 与许多其他流行的 Linux 防火墙一样,带有大量文档。弄清楚你需要应用什么样的设置来根据你的确切规格设置防火墙应该一点也不难。如果您选择 CSF 以外的防火墙解决方案,您将需要稍微不同的命令。不过,如果您拥有具有 root 访问权限的自我管理 VPS,则该过程相对简单。
您的托管服务提供商的角色
尽管如此,许多网站所有者可能不愿意自己完成所有工作,这是可以理解的,特别是如果他们不习惯使用终端。对他们来说,托管计划是完美的解决方案。使用托管 VPS,您仍然拥有自己的虚拟服务器。您可以自由使用其所有硬件资源并安装您认为合适的应用程序。不同之处在于,您不需要做任何系统管理员工作。相反,您的托管服务提供商会利用其专业知识来确保您的 VPS 设置正确并始终正常工作。
这包括安装和配置 VPS 防火墙。如果您的经验有限并且您对自己设置所有内容感到不舒服,那么这是首选设置。但是,请避免将自己置于可能符合也可能不符合项目要求的严格默认设置中。
如果您需要使用需要一组特定防火墙规则的应用程序,您的主机支持团队必须能够快速检查是否可以更改设置。如果是,他们将为您应用新配置。如果没有,他们应该能够为您指出正确的自我管理计划,并且最好为您提供有关 合适的防火墙解决方案的信息。
安全解决方案
我们相信ConfigServer Firewall是适用于大多数用例的最佳 Linux 防火墙解决方案,这就是我们在托管 cPanel 和 SPanel VPS 计划中使用它的原因。这是一个基于iptables久经考验的解决方案——一个久经考验的框架,多年来一直保持 Linux 系统的安全。
同时,CSF 的灵活性使我们能够创建适合无穷无尽的项目和用户需求的设置。如果您认为它不完全符合您的要求 - 您可以随时与我们24/7 全天候可用的技术支持专家取得联系。
正确配置的 CSF 防火墙可以保护我们的客户免受许多攻击,但它并不是安全问题的完整解决方案。我们从事这项业务已有十多年了,我们已经看到了许多承诺保护用户安全的安全系统。但是,不久前,我们意识到在保护网站及其访问者方面,定制解决方案别无选择。
这就是SShield的用武之地。这是一个最先进的内部构建监控系统,使用人工智能来阻止几乎所有已知的网络攻击。SShield 适用于我们所有共享和托管的 VPS 计划,始终密切关注您的帐户。如果它感应到可疑行为 - 它会立即提醒您。SShield 是为客户定制的,我们将继续投入时间和精力来确保它准备好抵御最新的威胁。
结论
对于某些人来说,设置防火墙的任务可能看起来很艰巨,尤其是在他们的服务器管理员经验有限的情况下。事实是,有很多有用的指南和资源,如果您愿意投入时间和精力,就不太可能弄错。不过,如果您仍然对自己处理任务感到不自在,您可以选择托管VPS 计划并将繁重的工作交给专家。