我们有强大的外围防火墙。是否仍然在每个主机上使用 IPTables 来硬阻塞除需要的端口(DNS、Web 服务器的 80、nagios 端口等)之外的任何和所有端口,或者这只会导致效率低下。Web 服务器每天获得数百万次点击。
手动锁定每台主机上的端口是一种好习惯吗
信息安全
港口
2021-08-21 01:43:54
2个回答
是的,最好锁定防火墙内的所有主机,以防止来自内部网络的任何威胁。这样,如果有人可以访问您的网络,或者如果有病毒/蠕虫/等攻击您的本地计算机,那么可能会受到损害的服务就会少得多。
其他人将需要谈论这种特殊情况下的低效率,尽管我怀疑它们可以忽略不计。
一定要这样做。我已经养成了使用 Puppet 部署服务的习惯,因此允许服务规则被写入安装服务的同一个定义文件中。通用防火墙清单文件通过删除我不允许的所有内容来完成(除了 ICMP。不要关闭 ICMP)。
其它你可能感兴趣的问题