全球大流行迫使許多人呆在家里，并給了他們足夠的空閑時間來啟動他們考慮了很久的項目。由于虛擬專用服務器 (VPS)在負擔得起的共享計劃和強大的專用服務器之間提供了最佳環(huán)境，因此許多新網(wǎng)站所有者在邏輯上認為它們是一個很好的選擇。管理虛擬服務器包括用戶更加親力親為的方法，其中一項基本任務是設置 VPS 防火墻。讓我們澄清一些圍繞此事的困惑。

VPS 安全的重要性

新手網(wǎng)站管理員的浪潮對黑客來說是個好消息。有大量可供選擇的新目標，其中許多還沒有準備好應對現(xiàn)代威脅形勢所帶來的任何影響。

攻擊這些新網(wǎng)站的動機也很好。許多嶄露頭角的項目都圍繞電子商務商業(yè)模式展開，因此成功的攻擊可能會讓黑客未經(jīng)授權(quán)訪問敏感（和有價值的）數(shù)據(jù)。即使情況并非如此，受感染的虛擬服務器也會為進一步的攻擊提供一個啟動板。許多 VPS 用戶都知道防火墻是他們最基本和最重要的防御機制之一。但他們知道它是如何工作的嗎？他們可以在沒有專業(yè)幫助的情況下進行設置嗎？

什么是 VPS 防火墻？

防火墻是一種網(wǎng)絡安全系統(tǒng)，它使用預先確定的規(guī)則來過濾傳入和傳出的流量。它檢查您的 VPS 與外部世界之間交換的請求，并阻止那些看起來可疑的請求。在Web 托管服務器的上下文中，防火墻是阻止暴力攻擊、DDoS、端口掃描等攻擊以及可能導致服務中斷或服務器接管的各種其他威脅的最簡單方法。

但是防火墻只有在正確配置時才有用。例如，總共有65,535 個 TCP 和 UDP 網(wǎng)絡端口。您的服務器只使用其中的一小部分。正確配置的防火墻將阻止與任何合法服務未使用的端口的所有連接。VPS 防火墻還將對服務的使用方式有嚴格的規(guī)定。例如，假設它發(fā)現(xiàn)單個 IP 地址正在生成異常數(shù)量的流量。正確配置的防火墻將在 IP 開始占用服務器資源并損害其性能之前阻止它。

該技術(shù)自1980 年代就已經(jīng)存在，如今，大多數(shù)計算機和服務器都受到防火墻的保護。對于可以想象的每種設置，都有免費和高級的解決方案。其中一些與操作系統(tǒng)本身集成，而另一些則作為第三方產(chǎn)品提供。大多數(shù)用于虛擬主機的 VPS 解決方案都在Linux上運行，因此今天的指南將重點介紹開源操作系統(tǒng)的基本要素。

以下是一些最流行的Linux 防火墻：

iptables

iptables 被集成到大多數(shù) Linux 發(fā)行版中。它已經(jīng)存在了一段時間，并且已經(jīng)證明自己是一種輕量級但功能強大的過濾 Linux 系統(tǒng)流量的解決方案。多年來，Iptables 已經(jīng)發(fā)展了很多。起初，它只能將策略應用于傳入的數(shù)據(jù)包，但其模塊化架構(gòu)允許開發(fā)人員多年來極大地擴展其功能。目前，iptables 被認為是最靈活的防火墻之一。這在很大程度上歸功于諸如在許多不同級別上工作的能力及其備份和恢復支持等特性。唯一的缺點是，iptables 只能通過命令行界面進行配置，許多用戶覺得很難理解。

Nftables

Nftables 被稱為iptables 的繼任者。它由同一個團隊構(gòu)建，并提供對IPv4 和 IPv6的開箱即用支持 。與 iptables 一樣，它只能通過終端進行配置。幸運的是，它為用戶提供了更易讀的語法。這意味著想要使用操作系統(tǒng)內(nèi)置防火墻的服務器所有者應該可以更輕松地設置所有內(nèi)容。盡管像CentOS 8這樣的發(fā)行版已經(jīng)實現(xiàn)了 nftables，但它仍然遠沒有 iptables 那樣普遍。盡管如此，預計它最終會成為 默認的 Linux 防火墻，因此您可能希望盡快開始熟悉它。

UFW

另一個試圖讓用戶的生活更輕松的防火墻解決方案是簡單防火墻（或 UFW）。該解決方案已集成到 現(xiàn)代 Ubuntu 版本中，盡管并非在所有軟件存儲庫中都可用 - 也可以將其安裝在其他 Linux 發(fā)行版上。您可以找到允許您通過 圖形用戶界面( GUI ) 配置 UFW 的服務。更直接的管理并不是 UFW 的唯一優(yōu)勢。它還為用戶提供了IPv6 支持、阻止一系列 IP的能力以及限制對某些端口的訪問等功能。

配置服務器防火墻

ConfigServer 防火墻或 CSF是 Linux 服務器最流行的防火墻解決方案之一。它是免費的，并使用 iptables 作為框架，這意味著它在大多數(shù) Linux 發(fā)行版上的配置非常簡單。這個防火墻的功能也相當豐富。

CSF 具有專門設計用于針對SYN 泛洪和端口掃描提供有效保護 的機制。特別值得注意的是登錄失敗守護程序——該功能會定期檢查暴力嘗試并在發(fā)現(xiàn)潛在攻擊證據(jù)時阻止犯罪者的 IP。

雖然令人印象深刻的功能集使其與許多其他防火墻解決方案不同，但對于大多數(shù)人來說，CSF 的主要賣點是它與流行的網(wǎng)絡托管控制面板的無縫集成。cPanel/WHM、Webmin和DirectAdmin的用戶不需要使用命令行界面來配置 CSF。相反，他們可以從控制面板內(nèi)部管理防火墻規(guī)則。除此之外，CSF 的 GUI 插件還允許他們查看詳細的統(tǒng)計數(shù)據(jù)并得出有關(guān)潛在攻擊模式的結(jié)論。

pfSense

PfSense 是一個強大的路由平臺，可用作防火墻、路由器、DHCP和DNS 服務器。

作為防火墻，其 pfSense 的功能包括：

• 基于源和目標 IP 的過濾系統(tǒng)
• 協(xié)議和端口
• WAP 和 VPN 端點功能
• 關(guān)于服務器的實時信息源
• 平衡輸出和輸入負載的能力

有狀態(tài)的數(shù)據(jù)包檢查器在讓每個數(shù)據(jù)包通過之前會對其進行更深入的研究。此外，預設的規(guī)則配置文件和每個接口的配置為 pfSense 提供了更大的靈活性。

護墻

Shorewall 是另一個適用于 Linux 的開源防火墻解決方案。它使用Netfilter，一個內(nèi)置在 Linux 內(nèi)核中的框架來跟蹤連接和過濾數(shù)據(jù)包。該解決方案支持一系列路由器、防火墻和網(wǎng)關(guān)應用程序。

在 Shorewall 功能中，您會發(fā)現(xiàn)：

• 靈活的地址管理支持
• 將單個 IP 和子網(wǎng)列入黑名單的能力
• VPN 支持
• 流量整形和計費
• IPv6 支持和與一系列虛擬化技術(shù)的輕松集成

尋找?guī)в?GUI 的防火墻的用戶應該知道 Shorewall 很好地集成到了Webmin 控制面板中。

如何設置 VPS 防火墻

安裝和配置防火墻通常需要對服務器進行 root 訪問，并且不可避免地涉及一些許多人不習慣的命令行工作。然而，正如在 Linux VPS 上安裝 CSF 的步驟將向您展示的那樣，沒有什么太難或太復雜的了。

這是您需要做的：

1. 導航到usr/src并下載 CSF

您需要使用的命令是：

cd /usr/src/

wget https://download.configserver.com/csf.tgz

您的 VPS 會自動從官方網(wǎng)站下載 CSF 的最新版本，并將其放置在/usr/src/目錄中。

2. 提取CSF檔案

以下命令將提取 csf.tgz 存檔中的所有文件：

tar xzf csf.tgz

3. 進入 CSF 的目錄并運行安裝程序

您需要使用的命令是：

cd csf

sh install.sh

運行它，您將啟動 CSF 的安裝程序。在安裝應用程序之前，它將首先檢查所有先決條件是否存在。如果遇到嚴重錯誤，您可能需要在繼續(xù)之前 安裝Perl和libwww 。

默認情況下，它們應該在所有受支持的 Linux 發(fā)行版上都可用，但如果它們不可用 - 您需要使用的命令是：

yum install perl-libwww-perl – 用于基于 RHEL 的發(fā)行版

apt install libwww-perl – 用于基于 Debian 的發(fā)行版。

4. 禁用任何現(xiàn)有的防火墻并配置CSF

如果您的計算機上正在運行任何其他防火墻實用程序，您可能需要使用 systemctl 命令禁用它們。CSF 的配置位于/etc/csf/csf.conf中，如果您使用受支持的 Web 托管控制面板之一 - 您可以從那里啟用和管理防火墻。

幸運的是，CSF 與許多其他流行的 Linux 防火墻一樣，帶有大量文檔。弄清楚你需要應用什么樣的設置來根據(jù)你的確切規(guī)格設置防火墻應該一點也不難。如果您選擇 CSF 以外的防火墻解決方案，您將需要稍微不同的命令。不過，如果您擁有具有 root 訪問權(quán)限的自我管理 VPS，則該過程相對簡單。

您的托管服務提供商的角色

盡管如此，許多網(wǎng)站所有者可能不愿意自己完成所有工作，這是可以理解的，特別是如果他們不習慣使用終端。對他們來說，托管計劃是完美的解決方案。使用托管 VPS，您仍然擁有自己的虛擬服務器。您可以自由使用其所有硬件資源并安裝您認為合適的應用程序。不同之處在于，您不需要做任何系統(tǒng)管理員工作。相反，您的托管服務提供商會利用其專業(yè)知識來確保您的 VPS 設置正確并始終正常工作。

這包括安裝和配置 VPS 防火墻。如果您的經(jīng)驗有限并且您對自己設置所有內(nèi)容感到不舒服，那么這是首選設置。但是，請避免將自己置于可能符合也可能不符合項目要求的嚴格默認設置中。

如果您需要使用需要一組特定防火墻規(guī)則的應用程序，您的主機支持團隊必須能夠快速檢查是否可以更改設置。如果是，他們將為您應用新配置。如果沒有，他們應該能夠為您指出正確的自我管理計劃，并且最好為您提供有關(guān) 合適的防火墻解決方案的信息。

安全解決方案

我們相信ConfigServer Firewall是適用于大多數(shù)用例的最佳 Linux 防火墻解決方案，這就是我們在托管 cPanel 和 SPanel VPS 計劃中使用它的原因。這是一個基于iptables久經(jīng)考驗的解決方案——一個久經(jīng)考驗的框架，多年來一直保持 Linux 系統(tǒng)的安全。

同時，CSF 的靈活性使我們能夠創(chuàng)建適合無窮無盡的項目和用戶需求的設置。如果您認為它不完全符合您的要求 - 您可以隨時與我們24/7 全天候可用的技術(shù)支持專家取得聯(lián)系。

正確配置的 CSF 防火墻可以保護我們的客戶免受許多攻擊，但它并不是安全問題的完整解決方案。我們從事這項業(yè)務已有十多年了，我們已經(jīng)看到了許多承諾保護用戶安全的安全系統(tǒng)。但是，不久前，我們意識到在保護網(wǎng)站及其訪問者方面，定制解決方案別無選擇。

這就是SShield的用武之地。這是一個最先進的內(nèi)部構(gòu)建監(jiān)控系統(tǒng)，使用人工智能來阻止幾乎所有已知的網(wǎng)絡攻擊。SShield 適用于我們所有共享和托管的 VPS 計劃，始終密切關(guān)注您的帳戶。如果它感應到可疑行為 - 它會立即提醒您。SShield 是為客戶定制的，我們將繼續(xù)投入時間和精力來確保它準備好抵御最新的威脅。

結(jié)論

對于某些人來說，設置防火墻的任務可能看起來很艱巨，尤其是在他們的服務器管理員經(jīng)驗有限的情況下。事實是，有很多有用的指南和資源，如果您愿意投入時間和精力，就不太可能弄錯。不過，如果您仍然對自己處理任務感到不自在，您可以選擇托管VPS 計劃并將繁重的工作交給專家。