1.Настройки по подразбиране на защитната стена

В Interspace Cloud, мрежовият трафик към и от вашите виртуални сървъри не се филтрира или блокира от защитна стена, разположена преди мрежовите интерфейси на вашия виртуален сървър. Докато това предлага максимална гъвкавост за конфигурацията на сигурността на трафика, ваша отговорност е да настроите защитна стена в операционната система на вашия виртуален сървър.

Ако вашият сървър е достъпен от интернет, силно препоръчваме да настроите защитна стена. Трябва да конфигурирате защитната стена веднага след разгръщането на нов виртуален сървър, преди да инсталирате приложения или да направите услугите достъпни.

Не мислете, че хакерите няма да атакуват вашия сървър само защото шансовете да намерят вашия публичен IP адрес са малки. Те използват автоматизирани ботове, които непрекъснато сканират целия интернет в търсене на уязвими сървъри. Вашият сървър може да бъде открит и атакуван в рамките на часове след влизане онлайн.

За Linux системи можете да използвате iptables, ufw или firewalld, докато Windows сървърите идват с Windows Defender Firewall. Моля, прочетете раздела Най-добри практики за сигурност на защитната стена по-долу.

2.Най-добри практики за сигурност на защитната стена

2.1.Разрешете само необходимите портове

Всеки отворен порт е потенциална точка за влизане на атакуващи. Дръжте отворени само тези портове, които са необходими за функционирането на вашите услуги.

Конфигурирайте защитната стена да блокира целия входящ трафик по подразбиране и да разрешава само конкретни необходими услуги. Този подход "забрани всичко, разреши някои" е много по-безопасен от опитите да се блокират конкретни заплахи. Колкото по-малко отворени портове имате, толкова по-малък е шансът за неоторизиран достъп до вашия сървър.

2.2.Защитен достъп за управление

Променете портовете по подразбиране за услуги за управление като SSH (22) и RDP (3389). Въпреки че само това няма да спре решителните атакуващи, то помага да се намалят опитите за автоматизирано сканиране.

Когато е възможно, ограничете достъпа до портовете за управление до конкретни IP адреси или диапазони. Това значително намалява риска от опити за неоторизиран достъп.

За допълнителна сигурност, обмислете използването на port knocking. Този метод държи портовете затворени, докато не бъде засечена конкретна последователност от опити за връзка. Само след това "тайно почукване" защитната стена временно ще отвори необходимия порт.

2.3.Ограничаване на скоростта

Конфигурирайте защитната стена да ограничава броя на връзките от един IP адрес. Това помага за предотвратяване на брутфорс атаки и опити за отказ на услуга.

Чести цели за ограничаване на скоростта са SSH, RDP и страници за вход в уеб приложения.

2.4.Гео-блокиране

Обмислете блокирането на трафик от държави, с които не извършвате бизнес. Въпреки че не е безпогрешно, това може значително да намали броя на атаките.

2.5.Наблюдение на логовете на защитната стена

Преглеждайте периодично логовете на защитната стена, за да идентифицирате необичайни модели или повтарящи се опити за достъп. Това може да ви помогне да откриете потенциални заплахи за сигурността и да коригирате правилата си съответно.