Нужен ли вашему облачному серверу брандмауэр? — CloudSavvy ИТ

Иллюстрация брандмауэраShutterstock / Анатолир

Брандмауэр — это сетевая утилита, которая запускается на вашем сервере и не позволяет посторонним использовать определенные порты. Это делает его полезным инструментом безопасности для блокировки доступа злоумышленников к процессам, которым они не должны. Нужен ли он вашему серверу?

Открывайте только нужные порты, остальное брандмауэр

Сервисы, которые вы запускаете на своем сервере, подключаются к внешнему миру через порты. У каждого порта есть номер, и служба будет прослушивать соединения на этом номере порта. Это не всегда угроза безопасности, поскольку вам часто требуется, чтобы порты были открыты для доступа пользователей к вашей службе.

Порты 80 и 443 являются портами по умолчанию для HTTP и HTTPS. Если вы используете веб-сервер, они должны быть открыты. Порт 22, скорее всего, будет открыт при любой новой установке Linux, поскольку это порт SSH по умолчанию. Вы можете закрыть этот порт, но вам нужно будет переместить SSH на другой порт (что в любом случае является хорошей идеей).

Без брандмауэра любой службе, запускающей соединение, по умолчанию будет разрешен доступ к любому порту. Лучше всего иметь определенные правила, чтобы этого не произошло и чтобы в вашей системе не выполнялось ничего неожиданного. Именно это и делает брандмауэр — определяет правила, по которым процессы на вашем сервере могут взаимодействовать с внешним миром.

Чтобы проверить, какие порты в настоящее время открыты в вашей системе, вы можете запустить:

sudo netstat -plnt

Или, если вам нужен более сжатый вывод:

sudo netstat -plnt | grep «СЛУШАТЬ» | awk ‘{print $ 4 » t» $ 7}’

Эти команды будут перечислять каждый открытый порт, а также какой процесс использует этот порт. Netstat показывает только PID и имя файла процесса, поэтому, если вам нужен полный путь, вам придется передать PID команде ps. Если вам нужно сканировать порты без доступа к серверу, вы можете использовать клиентскую утилиту nmap.

Все остальное, что не используется специально для размещения службы, должно быть закрыто брандмауэром.

Если все, что запущено в вашей системе, должно быть открыто, вам может не понадобиться брандмауэр. Но без него любой неиспользуемый порт может легко открыть новый процесс, который вы устанавливаете. Вам нужно будет убедиться, что любые новые службы не нужно блокировать.

Не запускайте свои службы на общедоступных IP-адресах в первую очередь

Предотвратите доступ к сервисам для всех, заблокировав подключения к вашему виртуальному частному облаку.

Брандмауэр — отличный инструмент безопасности, но некоторые службы не должны быть доступны для всех. Если порт должен быть открыт, эта служба уязвима для атак методом перебора и других неприятных проблем. Но вы можете предотвратить это, заблокировав подключения к своему виртуальному частному облаку.

Базы данных — яркий тому пример. База данных, такая как MySQL, должна иметь открытый порт для административных подключений. Но если с базой данных общается только ваш веб-сервер (и вы, при обслуживании), вам следует сохранить конфиденциальность MySQL и разрешить ему взаимодействовать только с веб-сервером. Если вам нужно получить к нему доступ, вы можете подключиться к веб-серверу по SSH и получить оттуда доступ к остальной сети.

Как настроить брандмауэр

Если вы используете управляемую службу хостинга, такую ​​как Amazon Web Services или Digital Ocean, у вашего провайдера может быть брандмауэр, которым вы можете управлять через веб-интерфейс. Если это вариант, вам следует настроить брандмауэр таким же образом.

AWS, в частности, заставляет вас использовать их брандмауэр, которым управляют группы безопасности. Все порты закрыты по умолчанию (за исключением порта 22), поэтому вам нужно будет открыть их вручную из их интерфейса. Вы можете редактировать группы безопасности для любого запущенного экземпляра из консоли управления EC2, а также изменять правила для входящих подключений.

В AWS вы можете редактировать группы безопасности для любого запущенного экземпляра из консоли управления EC2 и изменять группы входящих подключений.

AWS позволяет указать источник для правила, чтобы, например, вы могли заблокировать SSH только для своего личного IP-адреса или сделать соединение между сервером базы данных и веб-сервером частным.

Если вы используете других провайдеров, таких как Linode или обычный хостинг, вам нужно будет настроить брандмауэр самостоятельно. Для этого проще всего использовать iptables утилита.

Если вы используете сервер Windows, вам необходимо настроить правильно названный Брандмауэр Windows, что можно сделать из консоли управления Windows или с помощью netsh.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *