V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
notolddriver
V2EX  ›  云计算

关于企业云服务器防火墙的设置

  •  
  •   notolddriver · 2017-01-16 19:39:58 +08:00 · 3137 次点击
    这是一个创建于 2905 天前的主题,其中的信息可能已经有所发展或是发生改变。

    请教个问题,企业云服务器的防火墙策略是使用后台自带的《安全组》来设置呢? 还是直接做在每台主机上比较好呢?

    公司同事说应该把防火墙规则写到每台主机的 iptables 规则里,在后台的 《安全组》 里建立防火墙规则有点 low 。。。《安全组》只是起辅助作用的。

    我觉得在后台的《安全组》为每台服务器配置对应的防火墙规则,比在每台主机上建立 iptables 规则更加方便且易于管理。

    原因:

    1.《安全组》里的防火墙规则优先级应该是大于主机上的 iptables 规则。

    2.有些主机的规则,已经配置在 安全组 了。

    第 1 条附言  ·  2017-01-16 22:18:30 +08:00
    我目前想到一个 主机上 iptables 可配置,但一般《安全组》不提供的功能。
    比如 iptables 的路由转发 /端口映射这种操作。
    《安全组》一般都只是提供 内外网 的进出策略。
    10 条回复    2017-01-16 23:32:40 +08:00
    daweibao
        1
    daweibao  
       2017-01-16 19:48:35 +08:00   ❤️ 1
    aws 推荐使用安全组
    salmon5
        2
    salmon5  
       2017-01-16 20:21:30 +08:00   ❤️ 1
    安全组,因为:1,安全组灵活,组内新加机器直接通信, iptables 做不到。
    2 ,安全组在主机之外,即使主机被黑,没法关闭安全组的防火墙规则。
    3 , iptables 维护成本高。
    solrted
        3
    solrted  
       2017-01-16 20:42:36 +08:00 via Android   ❤️ 1
    直接用的 安全组, iptable 关闭
    ywgx
        4
    ywgx  
       2017-01-16 20:49:48 +08:00   ❤️ 1
    核心区别 在于 一个 管理成本的问题:
    安全组的话,依赖云平台,如果粗一点的话,一个大安全组可以,细粒度一点的话,按应用组 设置安全组也行

    如果需要可编程的管理方式的话,推进 salt 这种模版,比如下面就是 一个 只允许 10.0.0.0/8 内网段放行,你可以根据不同的应用组,一个模版,这样管理起来,非常的方便和快捷

    flush all:
    iptables.flush:
    - family: ipv4
    default deny INPUT:
    iptables.set_policy:
    - family: ipv4
    - table: filter
    - chain: INPUT
    - policy: DROP
    default deny FORWARD:
    iptables.set_policy:
    - family: ipv4
    - table: filter
    - chain: FORWARD
    - policy: DROP
    default allow OUTPUT:
    iptables.set_policy:
    - family: ipv4
    - table: filter
    - chain: OUTPUT
    - policy: ACCEPT
    allow related and established:
    iptables.append:
    - family: ipv4
    - table: filter
    - chain: INPUT
    - jump: ACCEPT
    - match: state
    - connstate: RELATED,ESTABLISHED
    allow icmp:
    iptables.append:
    - family: ipv4
    - table: filter
    - chain: INPUT
    - jump: ACCEPT
    - proto: icmp
    allow loopback:
    iptables.append:
    - family: ipv4
    - table: filter
    - chain: INPUT
    - jump: ACCEPT
    - in-interface: lo
    allow private:
    iptables.append:
    - table: filter
    - chain: INPUT
    - proto: all
    - source: 10.0.0.0/8
    - jump: ACCEPT
    - save: True
    a1044634486
        5
    a1044634486  
       2017-01-16 21:00:22 +08:00
    长知识了.还有安全组..我问下不是云主机能用安全组吗
    notolddriver
        6
    notolddriver  
    OP
       2017-01-16 22:14:58 +08:00
    @a1044634486 可以是可以啊,自己开发喽。但一般没啥必要。
    abcbuzhiming
        7
    abcbuzhiming  
       2017-01-16 22:41:24 +08:00
    @notolddriver 这个安全组到底是个什么样的技术啊?有基本原理描述吗
    mytsing520
        8
    mytsing520  
       2017-01-16 23:00:39 +08:00
    用的安全组
    mytsing520
        9
    mytsing520  
       2017-01-16 23:00:52 +08:00
    @abcbuzhiming 你就把他看作一个防火墙就行
    notolddriver
        10
    notolddriver  
    OP
       2017-01-16 23:32:40 +08:00
    @abcbuzhiming

    虚拟机懂吧?
    你在自己电脑上开了 10 台虚拟机,比如使用 vmware 上建了 10 台 centos 6.8 的机器。

    想象成 你在阿里云购买了 10 台云服务器,各种云服务器其实都是基于虚拟化实现的嘛。

    然后你要管理这 10 台虚拟机的防火墙策略对吧, 2 种方法:

    1.开发一套 web 后台嘛,部署在自己电脑上,通过操作虚拟机与自己电脑的网络接口,来管理虚拟机与外网的访问。 [外层防火墙嘛]
    2.分别在每台虚拟机上使用 iptables ,来限制虚拟机与外网的访问。

    我只是大概举个例子哦,实际情况比这不知道高到哪里去了。 = 。-!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1102 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:30 · PVG 03:30 · LAX 11:30 · JFK 14:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.