Практически я начинаю небольшой сервис. И сейчас у меня один сервер. Нет денег на покупку отдельного / выделенного оборудования межсетевого экрана.
Эффективна ли установка брандмауэра на том же компьютере, который предлагает интернет-услуги? Мой сервер будет предлагать HTTP, NFS и SSH, а также индивидуальное серверное программное обеспечение на нескольких портах.
(править) Все службы (кроме NFS) должны быть открыты для Интернета. Не внутренние службы. Я думаю, моя машина (виртуализированная в Xen) подключен к Интернету напрямую, потому что я могу подключиться к своей машине по SSH только с IP-адресом.
(править) NFS не открыта для Интернета. Извините за мою ошибку. NFS будет обслуживаться только через SSH.
Если ваш компьютер достаточно мощный (много ОЗУ, много ядра), то я предлагаю вам виртуализация дорожка:
Установите гипервизор (VMware ESXi или Citrix XenServer - у обоих есть бесплатные версии)
Создайте 2 ВМ:
ВМ №1 имеет 2 сетевых интерфейса: внешний и внутренний *.
ВМ №2 имеет 1 сетевой интерфейс: внутренний *
Установите брандмауэр на виртуальную машину №1
Установите свой сервер в виртуальную машину №2
** Внутренняя здесь означает сеть, которая существует только внутри коробки XenServer и недоступна извне *
Если вы осторожно открываете свои порты только для минимального подмножества IP-адресов, которым необходим доступ к этим службам (т. Е. Открывайте порты custom-apps / NFS / SSH только для наименьшего набора IP-адресов, которым необходим доступ к этим службам), опыт подсказывает мне, что нет проблем, если ваша фильтрация пакетов / брандмауэр работает на том же компьютере, что и ваши службы, по сравнению с их защитой через внешний брандмауэр (если мы говорим только об одном сервере, и нас не интересует NAT или какой-либо другой расширенный брандмауэр такие функции, как проверка протокола).
Затем для тех служб, которые должны быть открыты для всего Интернета (например, HTTP / S), я бы предложил, и в зависимости от вашего выбора операционной системы, дополнительные инструменты / методы, чтобы минимизировать риск использования этих служб (либо потому, что об уязвимостях в программном обеспечении, которое вы используете, или ошибках программирования в программном обеспечении, которое вы пишете). Если вы используете linux / apache, modsecurity - очень хороший вариант для защиты ваших веб-сервисов. В случае IIS у Microsoft есть собственный набор инструментов и настроек, обеспечивающих эквивалентный уровень защиты.
Но, конечно, это только мое мнение, и, возможно, ваша лучшая стратегия - подождать, чтобы услышать больше мнений / опыта, а затем принять решение самостоятельно.
Я недавно довольно подробно писал об этом вопросе в Зачем мне нужен брандмауэр, если мой сервер хорошо настроен? и сообщество, кажется, в целом нашло ответ полезным; вы можете прочитать это.
Если вы используете VMWare ESX (i), тогда у них действительно есть конкретные виртуальные устройства для консолидации вашего брандмауэра на том же оборудовании, что и ваша DMZ и частные машины.