Хорошая практика Брандмауэринга для интернет-серверов направления?
Если Ваш хост включит webroot защиту в апаче, то путь файловой системы не будет работать, но можно все еще смочь включать как это:
<?php include('http://www.somedomain.com/?query=string'); ?>
Основные отличия - то, что включенный файл только видит переменные, Вы передали его в строке, и что возвращается, HTML, который php проанализировал из файла на исходном домене. В зависимости от того, что находится во включенном файле, который может быть хорошо.
Если Вы сильно не неправильно конфигурируете свой брандмауэр, он может только помочь. Издержки брандмауэров обычно довольно незначительны, если у Вас нет действительно сложного ruleset. Помните, все, что это делает, проверяет входящие пакеты по ряду правил. Также помните, что установки брандмауэра являются поданным даже самая маленькая корпоративная среда с общедоступными серверами. Даже маленький домашний маршрутизатор или рабочий стол могут действительно только извлечь выгоду из наличия брандмауэра. Думайте о своем пароле входа в систему. Шансы кого-то врывающегося в Ваш дом и использующий Ваш компьютер являются небольшими, но "издержки" пароля, защищающего Вашу учетную запись, так незначительны, что Вы могли бы также просто сделать это. Вы не предоставили информации относительно Вашей установки кроме этого, Вы выполняете веб-сервер с общедоступным IP. Я не могу адаптировать свой ответ на Вашу установку.
Вероятно, что у Вас есть несколько других портов, открытых на той машине, (т.е. SSH или некоторый NetBIOS или материал RPC, если это - Windows). Брандмауэр позволил бы Вам оставлять порт 80 открытыми для основной деятельности при предотвращении возможного использования других сервисов, у Вас есть работа Вашего поля, сознательно или невольно.
Кроме того, некоторые большинство пакетов брандмауэра как PF и Iptables могут использоваться для срыва сканирования и злоупотребления законными общедоступными серверами. Например, если у Вас есть сервис, являющийся грубым вызванный ботом, можно заблокировать тот IP с брандмауэром, позволяя другому дюйм/с продолжить получать доступ веб-серверу. Большинство брандмауэров создало-ins или дополнения для автоматизации этого процесса (т.е. fail2ban и sshguard).
Правильно настроенный брандмауэр не должен делать Вас более восприимчивыми к DoS-атаке. Это помогло бы предотвратить против лавинной рассылки SYN, потому что можно заблокировать незаконного дюйм/с. Конечно, исходный дюйм/с может быть подделан к случайным значениям для предотвращения этого. Однако PF использует "synproxy", который может смягчить это. Нападение Слезинки могло быть предотвращено брандмауэром также (т.е. привязка "к кусту").
Таким образом, существует много других методов нападения, которым может мешать брандмауэр. Существует больше к брандмауэрам, чем просто блокирование и разрешение портов.
Я не могу говорить очень о IDS.
Источник: у Меня есть опыт при установке брандмауэра/шлюзов на FreeBSD в средах IPv6 и IPv4.
Брандмауэр, конечно, очень важен. Но, правильно конфигурирование брандмауэра требует:
белый список определенного исходящего трафика, который брандмауэру позволяют выполнить. (т.е. единственный трафик, который мог бы рассмотреть веб-сервер, будет обновлениями ОС). Блокирование этого может минимизировать возможность обратной оболочки, используемой для установки вредоносного программного обеспечения на веб-сервере. Аналогично, блокирование разрешения DNS может также ограничить возможность переполнения начального буфера нанести ущерб.
блокирование всех портов, которые, как не известно, использовались
Наконец, столь важный, как брандмауэр, регистрируясь (и контролируя журналы) также очень важно.
Короткий ответ там не является никаким оправданием не иметь брандмауэр перед интернет-сервером направления. Вероятность DDos-атаки, которая заставила бы Ваш брандмауэр перестать работать, скорее всего, вызовет Ваш разъединяла для сбоя также. Это известно как закрытый сбой, чтобы прекратить принимать запросы в случае неправильного функционирования.
С IDS это отличается, главным образом потому что это выполняет совершенно другую функцию. IDS - все об обнаружении и традиционно находится позади Вашего брандмауэра, но перед интернет-серверами направления. ЕСЛИ БЫ Ваш IDS имел функции IPS, и он был перегружен, я сказал бы, что Вы хотели бы, чтобы он привел к сбою открытый, продолжил принимать запросы.
По существу Защита подробно является способом пойти, Брандмауэр, Мониторинг безопасности, Укрепленные Серверы.
Также я согласовываю Cocoabean, брандмауэры делают Вас значительно менее вероятно для многих типов DoS-атак.