虚拟专用服务器 (VPS)提供了经济实惠的共享计划和强大的专用服务器之间的最佳环境,因此许多新网站所有者理所当然地认为它们是一个很好的起点。
管理虚拟服务器需要用户采取更多的实际操作,其中一项基本任务是设置VPS防火墙,让我们一起来看看如何设置VPS防火墙吧。
VPS 安全的重要性
新手网站管理员的涌现对黑客来说是个好消息。新目标的选择范围很广,而且他们中的许多人还没有准备好应对现代威胁形势给他们带来的任何威胁。
攻击这些新网站的动机也相当不错。许多新兴项目都围绕电子商务业务模式展开,因此成功的攻击可能会让黑客未经授权访问敏感(且有价值)数据。
即使不是这样,被入侵的虚拟服务器也会成为进一步攻击的跳板。许多 VPS 用户都知道防火墙是他们最基本、最重要的防御机制之一。
但他们知道它是如何工作的吗?他们能在没有专业帮助的情况下完成安装吗?
什么是 VPS 防火墙?
防火墙是一种网络安全系统,它使用预定的规则来过滤传入和传出的流量。它会检查您的 VPS 与外界之间交换的请求,并阻止那些看起来可疑的请求。
在网络主机服务器的背景下,防火墙是阻止暴力破解、DDoS、端口扫描等攻击以及可能导致服务中断或服务器接管的各种其他威胁的最简单方法。
但防火墙只有正确配置才有用。
例如,总共有65,535 个 TCP 和 UDP 网络端口。您的服务器只使用其中的一小部分。正确配置的防火墙将阻止所有与合法服务未使用的端口的连接。
VPS 防火墙还会对服务的使用方式制定严格的规定。
例如,假设防火墙发现某个 IP 地址产生了异常流量。正确配置的防火墙会在该 IP 开始占用服务器资源并影响其性能之前将其拦截。
防火墙技术自 20 世纪 80 年代就已出现,如今,大多数计算机和服务器都受到防火墙的保护。对于任何设置,都有免费和付费的解决方案可供选择。其中一些与操作系统本身集成,而另一些则作为第三方产品提供。
大多数用于网络主机的 VPS 解决方案都在Linux上运行,因此今天的指南将重点介绍开源操作系统的基本知识。
以下是一些最流行的Linux 防火墙:
iptables
Iptables集成在大多数 Linux 发行版中。它已经存在了一段时间,并已证明自己是一种轻量但功能强大的 Linux 系统流量过滤解决方案。
多年来,Iptables 经历了许多演变。起初,它只能将策略应用于传入的数据包,但多年来,其模块化架构允许开发人员极大地扩展其功能。
目前,iptables 被认为是最灵活的防火墙之一。
这在很大程度上归功于它能够在多个不同级别上工作以及支持备份和恢复等功能。唯一的缺点是,iptables 只能通过命令行界面进行配置,许多用户发现这很难理解。
Nftables
Nftables 被称为iptables 的继任者。它由同一团队开发,并附带对IPv4 和 IPv6 的开箱即用支持 。与 iptables 一样,它只能通过终端进行配置。幸运的是,它为用户提供了更易读的语法。
这意味着想要使用操作系统内置防火墙的服务器所有者应该能够更轻松地完成所有设置。
尽管CentOS 8等发行版已经实现了 nftables,但它仍然远不如 iptables 那么普遍。不过,它最终有望成为 默认的 Linux 防火墙,因此您可能希望尽早开始熟悉它。
Uncomplicated Firewall
另一个试图让用户的生活更轻松的防火墙解决方案是Uncomplicated Firewall(或 UFW)。该解决方案已集成到 现代 Ubuntu 版本中,尽管它并非在所有软件存储库中都可用 – 但也可以将其安装在其他 Linux 发行版上。
您可以找到允许您通过 图形用户界面( GUI ) 配置 UFW 的服务。更直接的管理并不是 UFW 的唯一优势。它还为用户提供了IPv6 支持、阻止一系列 IP的能力以及限制对某些端口的访问的选项等功能。
ConfigServer Firewall
ConfigServer Firewall 或 CSF是 Linux 服务器最流行的防火墙解决方案之一。它是免费的,使用 iptables 作为框架,这意味着它在大多数 Linux 发行版上的配置都非常简单。
这款防火墙的功能也相当丰富。
CSF 具有专门设计的机制,可有效防御 SYN 洪水和端口扫描。特别值得注意的是登录失败守护程序– 该功能会定期检查暴力破解尝试,如果发现潜在攻击的证据,则会阻止犯罪者的 IP。
虽然令人印象深刻的功能集使其从许多其他防火墙解决方案中脱颖而出,但对于大多数人来说,CSF 的主要卖点是它与流行的网络主机控制面板的无缝集成。cPanel/WHM、Webmin和DirectAdmin的用户无需使用命令行界面来配置 CSF。
相反,他们可以从控制面板内部管理防火墙规则。除此之外,CSF 的 GUI 插件还允许他们查看详细统计数据并得出有关潜在攻击模式的结论。
PfSense
PfSense 是一个强大的路由平台,可以用作防火墙、路由器、DHCP和DNS 服务器。
作为防火墙,其 pfSense 的功能包括:
- 基于源 IP 和目标 IP 的过滤系统
- 协议和端口
- WAP 和 VPN 端点功能
- 关于服务器的实时信息反馈
- 平衡输出和输入负载的能力
状态数据包检查器会深入检查每个数据包,然后再让其通过。此外,预设的规则配置文件和每个接口的配置为 pfSense 提供了更大的灵活性。
Shorewall
Shorewall 是另一款适用于 Linux 的开源防火墙解决方案。它使用Netfilter,这是 Linux 内核中内置的框架,用于跟踪连接和过滤数据包。该解决方案支持一系列路由器、防火墙和网关应用程序。
在 Shorewall 的功能中,您会发现:
- 灵活的地址管理支持
- 将单个 IP 和子网列入黑名单的能力
- VPN 支持
- 流量整形和统计
- IPv6 支持并与多种虚拟化技术轻松集成
寻找具有 GUI 的防火墙的用户应该知道 Shorewall 可以很好地集成到Webmin 控制面板中。
如何设置 VPS 防火墙
安装和配置防火墙通常需要服务器的根访问权限,并不可避免地会涉及一些命令行工作,这是许多人不习惯的。
尽管如此,正如在 Linux VPS 上安装 CSF 的步骤向您展示的那样,没有什么太困难或复杂的。
您需要执行以下操作:
1. 导航到usr/src并下载 CSF
您需要使用的命令是:
cd /usr/src/
wget https://download.configserver.com/csf.tgz
您的 VPS 将自动从官方网站下载 CSF 的最新版本并将其放在/usr/src/目录中。
2.提取CSF档案
以下命令将提取 csf.tgz 档案中的所有文件:
tar xzf csf.tgz
3. 进入 CSF 目录并运行安装程序
您需要使用的命令是:
脑脊液
安装.sh
运行此程序后,您将启动 CSF 的安装程序。在安装应用程序之前,它将首先检查是否满足所有先决条件。如果遇到严重错误,您可能需要先安装Perl和libwww,然后再继续。
默认情况下,它们应该在所有受支持的 Linux 发行版上可用,但如果不可用,您需要使用的命令是:
yum install perl-libwww-perl – 适用于基于 RHEL 的发行版
apt install libwww-perl – 适用于基于 Debian 的发行版。
4.禁用所有现有防火墙并配置 CSF
如果您的计算机上正在运行任何其他防火墙实用程序,则可能需要使用 systemctl 命令禁用它们。CSF 的配置位于/etc/csf/csf.conf中,如果您使用其中一个受支持的网络主机控制面板,则可以从那里启用和管理防火墙。
幸运的是,与许多其他流行的 Linux 防火墙一样,CSF 附带了大量文档。弄清楚需要应用哪些类型的设置才能按照您的确切规格设置防火墙应该一点也不难。
如果您选择 CSF 以外的防火墙解决方案,则需要使用略有不同的命令。不过,如果您拥有具有 root 访问权限的自管理 VPS,则该过程相对简单。
主机服务提供商的作用
不过,许多网站所有者可能不愿意自己完成所有工作,这是可以理解的,特别是如果他们不习惯使用终端。
对于他们来说,管理计划是完美的解决方案。
使用主机 VPS,您仍拥有自己的虚拟服务器。您可以自由利用其所有硬件资源并安装您认为合适的应用程序。
不同之处在于,您不需要做任何系统管理员的工作。相反,您的主机服务提供商会利用其专业知识来确保您的 VPS 始终正确设置并正常运行。
这包括安装和配置 VPS 防火墙。
如果您的经验有限,并且您不习惯独自设置所有内容,那么这是首选设置。但是,请避免将自己置于可能适合您的项目要求的严格默认设置中。
如果您需要使用需要一组特定防火墙规则的应用程序,您的主机支持团队必须能够快速检查是否可以更改设置。如果可以,他们将为您应用新配置。如果不可以,他们应该能够为您指出正确的自我管理计划,并且最好为您提供有关合适防火墙解决方案的信息 。
结论
对于某些人来说,设置防火墙似乎是一项艰巨的任务,尤其是如果他们的服务器管理经验有限。事实上,有很多有用的指南和资源,如果你愿意投入时间和精力,你不太可能出错。
尽管如此,如果您仍然不愿意自己处理这项任务,您可以选择主机VPS,并将艰苦的工作留给专家。
常问问题
问: 我的 Linux VPS 需要防火墙吗?
答:是的,确实如此。在恶意软件攻击方面,Linux 可能不像 Windows 那样脆弱,但网络主机服务器需要防御种类繁多的威胁,包括DDoS、暴力攻击和端口扫描。通常,防火墙是抵御这些威胁的唯一方法。
问: 有哪些自带VPS防火墙的主机服务商?
答:像萤光云、lightnode这些热门VPS服务商都是自带防火墙的。
问: 黑客为什么会攻击 VPS?
答:虚拟专用服务器通常用于主机网站。通过攻击服务器,黑客可以未经授权访问用户数据。成功入侵后,他们还可以将VPS用作未来攻击的平台。
问: 如何配置我的 VPS 防火墙?
答:不同的防火墙解决方案提供不同的界面。大多数防火墙通过命令行界面进行控制,但语法很少相同。值得庆幸的是,对于最流行的 Linux 防火墙,有很多有用的指南和教程。
