需要防火牆(ed)網關路由器後面的UFW嗎
真的有必要在我已經有防火牆/埠規則的網關路由器後面執行 UFW 嗎?
在此範例中,我正在討論在 Natted 防火牆網關路由器後面的 Internet 可訪問 (Linux) 伺服器上執行 UFW。
請具體說明,不要因為那裡有黑客就說是!(雖然這是有效的答案)
只是為了內部保護嗎?如果是這樣,我知道我可以信任我的 LAN,我可以不執行 UFW 嗎?
歸根結底,這是一個安全問題,而不是 unix/linux 問題。
從技術上講,答案是否定的,沒有必要執行它以使事情正常執行(取決於您正在執行的其他內容)。
我不在家裡的網路上執行主機防火牆,因為我的調製解調器/路由器/接入點設置為不允許入站連接,並且像你一樣我“信任”我的家庭區域網路。
然而,這是我的家鄉。我幾乎沒有什麼有趣的數據,也沒有什麼可以吸引黑客的東西,而且主要是那些阻止偷渡的防禦措施。
下一個威脅是通過您的 Web 瀏覽器傳遞的惡意程式碼。這實際上意味著您不能信任您的家庭網路。在這種情況下,有人劫持了 Web 伺服器(交叉視線腳本等),您最終在您的機器上安裝了某種機器人,然後掃描您的網路並進行複制。有一個政府設施有一個機密的“秘密”網路(意味著它上面的數據是機密的,而不是網路本身)有一個感染,他們很難擺脫,因為他們機器上的任何東西都在以同樣快的速度傳播因為他們可以重新映像機器。然而,這幾乎是 Active Directory 上的所有 Windows 機器都存在單一文化和安全問題,這意味著
[數學處理錯誤] $$ 1 $$。 也許這對你來說是個問題,也許不是。那是你要做出的評價。
最終,在幾乎沒有打開入站埠的家庭網路上,執行的網路服務最少以及其他良好的安全實踐基於主機的防火牆不會提供顯著的安全性增益。
但是,在具有任何類型 PII 的業務中,您會加倍努力。
那說。我們都應該執行基於主機的防火牆。我們應該知道電腦正在代表我們發起並處理它的網路活動。
但忙碌而分心…