Я размещаю веб-сайт с apache на Google Cloud Platform, и я не был уверен, следует ли мне включать ufw.
Есть ли у Google уже включен брандмауэр на их экземплярах Google Cloud Compute Instances?
Спасибо!
Вкратце, да, Брандмауэры Google защищают экземпляры GCP с помощью виртуального частного облака (VPC) правила брандмауэра по умолчанию. По умолчанию эти правила разрешают только трафик, исходящий из внешнего источника, - это SSH на порт 22, RDP на порт 3389 и ICMP (ping). В частности, если вы используете веб-сервер, вам понадобится добавить брандмауэр VPC правило, разрешающее входящий трафик через порт 80 (для HTTP) и 443 (для HTTPS).
Обратите внимание, что этот брандмауэр находится в сети между Интернетом и вашим экземпляром Google Compute Engine (GCE); это не программное обеспечение, работающее на вашем экземпляре GCE. Вероятно, было бы разумно включить брандмауэр, такой как ufw, на самом экземпляре GCE. Одна из причин этого - сдерживание; если вы запустите два экземпляра GCE в одном VPC, Google будет разрешать трафик между ними. Это означает, что если один из этих экземпляров будет скомпрометирован, между ним и всеми другими вашими экземплярами не будет брандмауэра.
За исключением правил брандмауэра по умолчанию, которые вы можете соблюдать через VPC Network> Firewall rules, никакие другие правила брандмауэра не применяются к вычислительному экземпляру. Вам нужно будет настроить / включить соответствующие правила межсетевого экрана и, при необходимости, использовать ufw.