Я разместил в stackoverflow что-то ореальные преимущества управляемого хостинга по сравнению с неуправляемым хостингом.
Чем больше я думаю об этом, тем больше мне кажется, что все сводится к одному вопросу: следует ли мне использовать управляемый хост, потому что они заботятся о брандмауэре, или я могу управлять своим собственным программным брандмауэром?
Сайты на коробке получают довольно много трафика, но что касается пропускная способность и что-нет, я мало что знаю об этом.
В идеале я бы перенес свои сайты в стек Linode и управлял входящими подключениями, используя iptables или альтернатива.
Вот несколько примеров аппаратных решений, которые может предоставить управляемый хост:
Кроме того, мне не нужен управляемый хостинг, поэтому я ценю ваши предложения.
наличие внешнего брандмауэра, подобного упомянутому вами, может быть полезным, если ваш компьютер скомпрометирован. Маловероятно, что брандмауэр также будет скомпрометирован. Это остановит хакеров, запускающих определенные службы, и вы сможете проверить журналы брандмауэра, чтобы определить источник атаки, чтобы предотвратить ее в будущем. Кроме того, как уже упоминалось, брандмауэр снизит нагрузку на ваш сервер.
На мой взгляд, на практике ни одно из этих преимуществ в большинстве случаев не оправдывает использование внешнего управляемого межсетевого экрана. Нагрузка на сервер, которую брандмауэр остановил бы, будет незначительной. Если ваш сервер взломан, вам придется беспокоиться о других вещах, кроме небольшого ограничения того, что они могут делать, и наличие безопасных журналов с брандмауэра вряд ли принесет большую практическую пользу в долгосрочной перспективе.
Используйте iptables и не забывайте блокировать как исходящий, так и входящий трафик.
Преимущество выделенного брандмауэра заключается в том, что вашему серверу не придется иметь дело с трафиком, который будет отброшен (у вас все еще может быть насыщение ваших интерфейсов, если вы фильтруете на целевом поле).
Если вы ожидаете значительный объем трафика, и значительная его часть может быть отключена, вероятно, хорошей идеей будет выделенный брандмауэр (либо от вашего провайдера, либо от того, которым вы управляете самостоятельно).
Если вы не ожидаете сбросить большие объемы трафика и не думаете, что заполните соединение вашего сервера мусором, локальный брандмауэр может быть «достаточно хорошим», но я всегда за разделение роли брандмауэра на выделенные аппаратное обеспечение: хороший выбор - PIX, ASA или специализированный компьютер с PFSense или аналогичным программным обеспечением.