Я пытаюсь определить, могу ли я использовать один брандмауэр для всей моей сети, включая серверы клиентов, или у каждого клиента должен быть свой собственный брандмауэр. Я обнаружил, что многие хостинговые компании требуют, чтобы у каждого клиента с кластером серверов был собственный брандмауэр. Если вам нужен веб-узел и узел базы данных, вам также необходимо приобрести брандмауэр и платить за него еще одну ежемесячную плату.
У меня есть совместное пространство с несколькими серверами виртуализации KVM, на которых размещаются VPS-сервисы для множества разных клиентов. На каждом хосте KVM работает программный брандмауэр iptables, который разрешает доступ только к определенным портам на каждом VPS. Я могу контролировать, какие порты открыты для любого данного VPS, что позволяет получить доступ к веб-VPS из любого места на портах 80 и 443, но полностью блокировать VPS базы данных извне и разрешать доступ к нему только определенному другому VPS. Конфигурация подходит для моих текущих нужд.
Обратите внимание, что в настоящее время нет аппаратного межсетевого экрана, защищающего хосты виртуализации. Однако у KVM-хостов открыт только порт 22, на них не работает ничего, кроме KVM и SSH, и даже порт 22 недоступен, кроме как внутри сетевого блока.
Я собираюсь переосмыслить свою сеть сейчас, когда у меня есть клиент, которому необходимо перейти с одного VPS на два выделенных сервера (один веб-сервер и одна БД). У другого клиента уже есть один выделенный сервер, который не защищен никаким брандмауэром, кроме запущенного в системе iptables.
Должен ли я требовать, чтобы каждый заказчик выделенного сервера имел собственный выделенный межсетевой экран? Или я могу использовать один брандмауэр всей сети для нескольких клиентских кластеров?
Я знаком с iptables и в настоящее время думаю, что буду использовать его для любых брандмауэров / маршрутизаторов, которые мне нужны. Но я не обязательно хочу использовать 1U пространства в моей стойке для каждого межсетевого экрана или энергопотребление каждого сервера межсетевого экрана. Поэтому я рассматриваю аппаратный брандмауэр. Есть предложения о том, какой подход является хорошим?
Будь проще. Один брандмауэр может сделать эту работу. Тогда вам понадобится один брандмауэр.
Я думаю, что если вы единственный человек, контролирующий брандмауэр, и если клиенты не хотят иметь возможность вносить изменения, вы, безусловно, можете обойтись одним брандмауэром.
Вы можете использовать iptables на каждом хосте, однако мне никогда не нравился этот метод, так как при устранении неполадок вводится слишком много переменных.
Удачи!