硬件防火墙与。软件防火墙（IP表，RHEL）

我的托管公司说IPTables是无用的，不提供任何保护。这是谎言吗？

TL; DR
我有两个位于同一位置的服务器。昨天，我的DC公司与我联系，告诉我，因为我使用的是软件防火墙，所以我的服务器“容易受到多种严重的安全威胁”，而我当前的解决方案“对任何形式的攻击均不提供保护”。

他们说我需要防火墙获得一个专用的思科（$ 1000安装则$ 200 /每月每），以保护我的服务器。我始终给人的印象是，虽然硬件防火墙更安全，但是RedHat上的IPTables之类的东西为普通服务器提供了足够的保护。

这两台服务器都只是Web服务器，对它们没有什么至关重要的要求，但是我使用IPTables将SSH锁定为我的静态IP地址，并阻止除基本端口（HTTP（S），FTP和其他一些标准服务）之外的所有内容）。

我不会安装防火墙，如果服务器的以太网被黑客入侵将带来不便，但是它们所运行的只是几个WordPress和Joomla网站，所以我绝对不认为这值得。

硬件防火墙也在运行软件，唯一真正的区别是该设备是专门为任务而构建的。正确配置后，服务器上的软件防火墙可以与硬件防火墙一样安全（请注意，硬件防火墙通常更容易达到这一级别，软件防火墙更容易解决）。

如果您运行的软件过时，则可能存在一个已知漏洞。尽管您的服务器可能容易受到此攻击媒介的影响，但指出服务器不受保护是煽动性的，误导性的或大胆的谎言（取决于他们所说的确切内容以及其含义）。无论被利用的可能性如何，都应该更新软件并修补所有已知漏洞。

指出IPTables无效是最多的误导。再说一遍，如果一个规则是允许所有一切都允许，那么它根本就不会做任何事情。

旁注：我的所有个人服务器均由FreeBSD支持，并且仅使用IPFW（内置软件防火墙）。我从未遇到过这种设置问题。我还遵循安全公告，并且从未见过此防火墙软件有任何问题。
在工作中，我们具有多层安全性；边缘防火墙过滤掉所有明显的废话（硬件防火墙）；内部防火墙过滤掉单个服务器或网络位置的流量（主要是软件和硬件防火墙的组合）。
对于任何类型的复杂网络，分层安全性都是最合适的。对于像您这样的简单服务器，拥有单独的硬件防火墙可能会有些好处，但数量很少。

运行受保护的服务器本身的防火墙是比使用单独的防火墙设备的安全性较低。它不必是“硬件”防火墙。将另一台Linux服务器设置为带有IPTables的路由器可以正常工作。

受保护服务器上的防火墙的安全性问题在于，计算机可能会通过其运行的服务受到攻击。如果攻击者可以获取根级别的访问权限，则可以通过内核根工具包来修改或禁用防火墙或将其绕开。

单独的防火墙计算机除SSH访问外不应运行任何服务，并且SSH访问应限于管理IP范围。当然，它应该相对不受攻击，除非存在IPTables实现或TCP堆栈中的错误。

防火墙机器可以阻止和记录不应该存在的网络流量，从而为您提供有价值的早期预警，以破解系统。

如果流量较低，请尝试使用小型Cisco ASA设备，如5505。它的价格在$ 500- $ 700之间，并且绝对是专门制造的。Co-lo是给您BS的一种方式，但是它们对防火墙的费率也不合理。

我认为这也取决于性能。基于软件/服务器的防火墙使用CPU周期所做的事情，硬件防火墙可以使用专用芯片（ASIC）进行处理，从而提高性能和吞吐量。

从您的角度来看，“软件”（在计算机本身上）和“硬件”防火墙之间的真正区别在于，在第一种情况下，流量已经在您要保护的计算机上，因此如果某些内容被忽视或受到威胁，它可能会更容易受到攻击。配置错误。

硬件防火墙实质上是一个预过滤器，它仅允许特定的流量到达和/或退出您的服务器。

考虑到您的用例，当然假设您有适当的备份，那么额外的费用将很难证明。就个人而言，我可能会继续使用，尽管可能使用的是其他托管公司。

这场比赛迟到了。是的，服务提供商不知道他们在说什么。如果您是合格的IPTABLES管理员，我想说的是，您比开箱即用的硬件防火墙更安全。原因是当我使用它们时，漂亮的gee-whiz界面无法反映允许通过的流量的实际配置。供应商试图为我们愚蠢的人愚弄它。我想知道每个数据包进出的各种可能性。

IPTABLES并非适合所有人，但是如果您对安全性很认真，则希望尽可能地靠近网络。保护系统很容易-反向工程黑盒防火墙不是。