全球大流行迫使許多人呆在家里，并給了他們足夠的空閑時(shí)間來(lái)啟動(dòng)他們考慮了很久的項(xiàng)目。由于虛擬專(zhuān)用服務(wù)器 (VPS)在負(fù)擔(dān)得起的共享計(jì)劃和強(qiáng)大的專(zhuān)用服務(wù)器之間提供了最佳環(huán)境，因此許多新網(wǎng)站所有者在邏輯上認(rèn)為它們是一個(gè)很好的選擇。管理虛擬服務(wù)器包括用戶(hù)更加親力親為的方法，其中一項(xiàng)基本任務(wù)是設(shè)置 VPS 防火墻。讓我們澄清一些圍繞此事的困惑。

VPS 安全的重要性

新手網(wǎng)站管理員的浪潮對(duì)黑客來(lái)說(shuō)是個(gè)好消息。有大量可供選擇的新目標(biāo)，其中許多還沒(méi)有準(zhǔn)備好應(yīng)對(duì)現(xiàn)代威脅形勢(shì)所帶來(lái)的任何影響。

攻擊這些新網(wǎng)站的動(dòng)機(jī)也很好。許多嶄露頭角的項(xiàng)目都圍繞電子商務(wù)商業(yè)模式展開(kāi)，因此成功的攻擊可能會(huì)讓黑客未經(jīng)授權(quán)訪問(wèn)敏感（和有價(jià)值的）數(shù)據(jù)。即使情況并非如此，受感染的虛擬服務(wù)器也會(huì)為進(jìn)一步的攻擊提供一個(gè)啟動(dòng)板。許多 VPS 用戶(hù)都知道防火墻是他們最基本和最重要的防御機(jī)制之一。但他們知道它是如何工作的嗎？他們可以在沒(méi)有專(zhuān)業(yè)幫助的情況下進(jìn)行設(shè)置嗎？

什么是 VPS 防火墻？

防火墻是一種網(wǎng)絡(luò)安全系統(tǒng)，它使用預(yù)先確定的規(guī)則來(lái)過(guò)濾傳入和傳出的流量。它檢查您的 VPS 與外部世界之間交換的請(qǐng)求，并阻止那些看起來(lái)可疑的請(qǐng)求。在Web 托管服務(wù)器的上下文中，防火墻是阻止暴力攻擊、DDoS、端口掃描等攻擊以及可能導(dǎo)致服務(wù)中斷或服務(wù)器接管的各種其他威脅的最簡(jiǎn)單方法。

但是防火墻只有在正確配置時(shí)才有用。例如，總共有65,535 個(gè) TCP 和 UDP 網(wǎng)絡(luò)端口。您的服務(wù)器只使用其中的一小部分。正確配置的防火墻將阻止與任何合法服務(wù)未使用的端口的所有連接。VPS 防火墻還將對(duì)服務(wù)的使用方式有嚴(yán)格的規(guī)定。例如，假設(shè)它發(fā)現(xiàn)單個(gè) IP 地址正在生成異常數(shù)量的流量。正確配置的防火墻將在 IP 開(kāi)始占用服務(wù)器資源并損害其性能之前阻止它。

該技術(shù)自1980 年代就已經(jīng)存在，如今，大多數(shù)計(jì)算機(jī)和服務(wù)器都受到防火墻的保護(hù)。對(duì)于可以想象的每種設(shè)置，都有免費(fèi)和高級(jí)的解決方案。其中一些與操作系統(tǒng)本身集成，而另一些則作為第三方產(chǎn)品提供。大多數(shù)用于虛擬主機(jī)的 VPS 解決方案都在Linux上運(yùn)行，因此今天的指南將重點(diǎn)介紹開(kāi)源操作系統(tǒng)的基本要素。

以下是一些最流行的Linux 防火墻：

iptables

iptables 被集成到大多數(shù) Linux 發(fā)行版中。它已經(jīng)存在了一段時(shí)間，并且已經(jīng)證明自己是一種輕量級(jí)但功能強(qiáng)大的過(guò)濾 Linux 系統(tǒng)流量的解決方案。多年來(lái)，Iptables 已經(jīng)發(fā)展了很多。起初，它只能將策略應(yīng)用于傳入的數(shù)據(jù)包，但其模塊化架構(gòu)允許開(kāi)發(fā)人員多年來(lái)極大地?cái)U(kuò)展其功能。目前，iptables 被認(rèn)為是最靈活的防火墻之一。這在很大程度上歸功于諸如在許多不同級(jí)別上工作的能力及其備份和恢復(fù)支持等特性。唯一的缺點(diǎn)是，iptables 只能通過(guò)命令行界面進(jìn)行配置，許多用戶(hù)覺(jué)得很難理解。

Nftables

Nftables 被稱(chēng)為iptables 的繼任者。它由同一個(gè)團(tuán)隊(duì)構(gòu)建，并提供對(duì)IPv4 和 IPv6的開(kāi)箱即用支持 。與 iptables 一樣，它只能通過(guò)終端進(jìn)行配置。幸運(yùn)的是，它為用戶(hù)提供了更易讀的語(yǔ)法。這意味著想要使用操作系統(tǒng)內(nèi)置防火墻的服務(wù)器所有者應(yīng)該可以更輕松地設(shè)置所有內(nèi)容。盡管像CentOS 8這樣的發(fā)行版已經(jīng)實(shí)現(xiàn)了 nftables，但它仍然遠(yuǎn)沒(méi)有 iptables 那樣普遍。盡管如此，預(yù)計(jì)它最終會(huì)成為 默認(rèn)的 Linux 防火墻，因此您可能希望盡快開(kāi)始熟悉它。

UFW

另一個(gè)試圖讓用戶(hù)的生活更輕松的防火墻解決方案是簡(jiǎn)單防火墻（或 UFW）。該解決方案已集成到 現(xiàn)代 Ubuntu 版本中，盡管并非在所有軟件存儲(chǔ)庫(kù)中都可用 - 也可以將其安裝在其他 Linux 發(fā)行版上。您可以找到允許您通過(guò) 圖形用戶(hù)界面( GUI ) 配置 UFW 的服務(wù)。更直接的管理并不是 UFW 的唯一優(yōu)勢(shì)。它還為用戶(hù)提供了IPv6 支持、阻止一系列 IP的能力以及限制對(duì)某些端口的訪問(wèn)等功能。

配置服務(wù)器防火墻

ConfigServer 防火墻或 CSF是 Linux 服務(wù)器最流行的防火墻解決方案之一。它是免費(fèi)的，并使用 iptables 作為框架，這意味著它在大多數(shù) Linux 發(fā)行版上的配置非常簡(jiǎn)單。這個(gè)防火墻的功能也相當(dāng)豐富。

CSF 具有專(zhuān)門(mén)設(shè)計(jì)用于針對(duì)SYN 泛洪和端口掃描提供有效保護(hù) 的機(jī)制。特別值得注意的是登錄失敗守護(hù)程序——該功能會(huì)定期檢查暴力嘗試并在發(fā)現(xiàn)潛在攻擊證據(jù)時(shí)阻止犯罪者的 IP。

雖然令人印象深刻的功能集使其與許多其他防火墻解決方案不同，但對(duì)于大多數(shù)人來(lái)說(shuō)，CSF 的主要賣(mài)點(diǎn)是它與流行的網(wǎng)絡(luò)托管控制面板的無(wú)縫集成。cPanel/WHM、Webmin和DirectAdmin的用戶(hù)不需要使用命令行界面來(lái)配置 CSF。相反，他們可以從控制面板內(nèi)部管理防火墻規(guī)則。除此之外，CSF 的 GUI 插件還允許他們查看詳細(xì)的統(tǒng)計(jì)數(shù)據(jù)并得出有關(guān)潛在攻擊模式的結(jié)論。

pfSense

PfSense 是一個(gè)強(qiáng)大的路由平臺(tái)，可用作防火墻、路由器、DHCP和DNS 服務(wù)器。

作為防火墻，其 pfSense 的功能包括：

• 基于源和目標(biāo) IP 的過(guò)濾系統(tǒng)
• 協(xié)議和端口
• WAP 和 VPN 端點(diǎn)功能
• 關(guān)于服務(wù)器的實(shí)時(shí)信息源
• 平衡輸出和輸入負(fù)載的能力

有狀態(tài)的數(shù)據(jù)包檢查器在讓每個(gè)數(shù)據(jù)包通過(guò)之前會(huì)對(duì)其進(jìn)行更深入的研究。此外，預(yù)設(shè)的規(guī)則配置文件和每個(gè)接口的配置為 pfSense 提供了更大的靈活性。

護(hù)墻

Shorewall 是另一個(gè)適用于 Linux 的開(kāi)源防火墻解決方案。它使用Netfilter，一個(gè)內(nèi)置在 Linux 內(nèi)核中的框架來(lái)跟蹤連接和過(guò)濾數(shù)據(jù)包。該解決方案支持一系列路由器、防火墻和網(wǎng)關(guān)應(yīng)用程序。

在 Shorewall 功能中，您會(huì)發(fā)現(xiàn)：

• 靈活的地址管理支持
• 將單個(gè) IP 和子網(wǎng)列入黑名單的能力
• VPN 支持
• 流量整形和計(jì)費(fèi)
• IPv6 支持和與一系列虛擬化技術(shù)的輕松集成

尋找?guī)в?GUI 的防火墻的用戶(hù)應(yīng)該知道 Shorewall 很好地集成到了Webmin 控制面板中。

如何設(shè)置 VPS 防火墻

安裝和配置防火墻通常需要對(duì)服務(wù)器進(jìn)行 root 訪問(wèn)，并且不可避免地涉及一些許多人不習(xí)慣的命令行工作。然而，正如在 Linux VPS 上安裝 CSF 的步驟將向您展示的那樣，沒(méi)有什么太難或太復(fù)雜的了。

這是您需要做的：

1. 導(dǎo)航到usr/src并下載 CSF

您需要使用的命令是：

cd /usr/src/

wget https://download.configserver.com/csf.tgz

您的 VPS 會(huì)自動(dòng)從官方網(wǎng)站下載 CSF 的最新版本，并將其放置在/usr/src/目錄中。

2. 提取CSF檔案

以下命令將提取 csf.tgz 存檔中的所有文件：

tar xzf csf.tgz

3. 進(jìn)入 CSF 的目錄并運(yùn)行安裝程序

您需要使用的命令是：

cd csf

sh install.sh

運(yùn)行它，您將啟動(dòng) CSF 的安裝程序。在安裝應(yīng)用程序之前，它將首先檢查所有先決條件是否存在。如果遇到嚴(yán)重錯(cuò)誤，您可能需要在繼續(xù)之前 安裝Perl和libwww 。

默認(rèn)情況下，它們應(yīng)該在所有受支持的 Linux 發(fā)行版上都可用，但如果它們不可用 - 您需要使用的命令是：

yum install perl-libwww-perl – 用于基于 RHEL 的發(fā)行版

apt install libwww-perl – 用于基于 Debian 的發(fā)行版。

4. 禁用任何現(xiàn)有的防火墻并配置CSF

如果您的計(jì)算機(jī)上正在運(yùn)行任何其他防火墻實(shí)用程序，您可能需要使用 systemctl 命令禁用它們。CSF 的配置位于/etc/csf/csf.conf中，如果您使用受支持的 Web 托管控制面板之一 - 您可以從那里啟用和管理防火墻。

幸運(yùn)的是，CSF 與許多其他流行的 Linux 防火墻一樣，帶有大量文檔。弄清楚你需要應(yīng)用什么樣的設(shè)置來(lái)根據(jù)你的確切規(guī)格設(shè)置防火墻應(yīng)該一點(diǎn)也不難。如果您選擇 CSF 以外的防火墻解決方案，您將需要稍微不同的命令。不過(guò)，如果您擁有具有 root 訪問(wèn)權(quán)限的自我管理 VPS，則該過(guò)程相對(duì)簡(jiǎn)單。

您的托管服務(wù)提供商的角色

盡管如此，許多網(wǎng)站所有者可能不愿意自己完成所有工作，這是可以理解的，特別是如果他們不習(xí)慣使用終端。對(duì)他們來(lái)說(shuō)，托管計(jì)劃是完美的解決方案。使用托管 VPS，您仍然擁有自己的虛擬服務(wù)器。您可以自由使用其所有硬件資源并安裝您認(rèn)為合適的應(yīng)用程序。不同之處在于，您不需要做任何系統(tǒng)管理員工作。相反，您的托管服務(wù)提供商會(huì)利用其專(zhuān)業(yè)知識(shí)來(lái)確保您的 VPS 設(shè)置正確并始終正常工作。

這包括安裝和配置 VPS 防火墻。如果您的經(jīng)驗(yàn)有限并且您對(duì)自己設(shè)置所有內(nèi)容感到不舒服，那么這是首選設(shè)置。但是，請(qǐng)避免將自己置于可能符合也可能不符合項(xiàng)目要求的嚴(yán)格默認(rèn)設(shè)置中。

如果您需要使用需要一組特定防火墻規(guī)則的應(yīng)用程序，您的主機(jī)支持團(tuán)隊(duì)必須能夠快速檢查是否可以更改設(shè)置。如果是，他們將為您應(yīng)用新配置。如果沒(méi)有，他們應(yīng)該能夠?yàn)槟赋稣_的自我管理計(jì)劃，并且最好為您提供有關(guān) 合適的防火墻解決方案的信息。

安全解決方案

我們相信ConfigServer Firewall是適用于大多數(shù)用例的最佳 Linux 防火墻解決方案，這就是我們?cè)谕泄?cPanel 和 SPanel VPS 計(jì)劃中使用它的原因。這是一個(gè)基于iptables久經(jīng)考驗(yàn)的解決方案——一個(gè)久經(jīng)考驗(yàn)的框架，多年來(lái)一直保持 Linux 系統(tǒng)的安全。

同時(shí)，CSF 的靈活性使我們能夠創(chuàng)建適合無(wú)窮無(wú)盡的項(xiàng)目和用戶(hù)需求的設(shè)置。如果您認(rèn)為它不完全符合您的要求 - 您可以隨時(shí)與我們24/7 全天候可用的技術(shù)支持專(zhuān)家取得聯(lián)系。

正確配置的 CSF 防火墻可以保護(hù)我們的客戶(hù)免受許多攻擊，但它并不是安全問(wèn)題的完整解決方案。我們從事這項(xiàng)業(yè)務(wù)已有十多年了，我們已經(jīng)看到了許多承諾保護(hù)用戶(hù)安全的安全系統(tǒng)。但是，不久前，我們意識(shí)到在保護(hù)網(wǎng)站及其訪問(wèn)者方面，定制解決方案別無(wú)選擇。

這就是SShield的用武之地。這是一個(gè)最先進(jìn)的內(nèi)部構(gòu)建監(jiān)控系統(tǒng)，使用人工智能來(lái)阻止幾乎所有已知的網(wǎng)絡(luò)攻擊。SShield 適用于我們所有共享和托管的 VPS 計(jì)劃，始終密切關(guān)注您的帳戶(hù)。如果它感應(yīng)到可疑行為 - 它會(huì)立即提醒您。SShield 是為客戶(hù)定制的，我們將繼續(xù)投入時(shí)間和精力來(lái)確保它準(zhǔn)備好抵御最新的威脅。

結(jié)論

對(duì)于某些人來(lái)說(shuō)，設(shè)置防火墻的任務(wù)可能看起來(lái)很艱巨，尤其是在他們的服務(wù)器管理員經(jīng)驗(yàn)有限的情況下。事實(shí)是，有很多有用的指南和資源，如果您愿意投入時(shí)間和精力，就不太可能弄錯(cuò)。不過(guò)，如果您仍然對(duì)自己處理任務(wù)感到不自在，您可以選擇托管VPS 計(jì)劃并將繁重的工作交給專(zhuān)家。