Как именно работает firewall у хостингов?

Question

[Rett-oo]

Подскажите пожалуйста, как именно работает firewall у хостингов? Если быть конкретнее то, к примеру хостер Hetzner предоставляет firewall на серверах. Он(firewall) размещен на отдельном их устройстве или установлен на сервере? и как обычно это делают другие хостеры/ЦОДы?

Интересуюсь для того, что бы понимать, что лучше и безопаснее:
1. Установка и настройка firewall`а на сервере самостоятельно
2. Настройка firewallа хостинга/ЦОДа (если они предоставляют эту возможность)
3 Подключение доп сетевого оборудования(например роутера)
Конечно можно использовать все сразу, но мне для начала нужно что-то одно.

Answer 1

[Daemon23RUS]

1) нужно обладать достаточными знаниями в области сетей и серверов
2) это некий preset, например у вас сайт, хостер закрывает все порты кроме 80 и 443 (я упрощенно)
3) дабы не нагружать сервер, ФВ правила выполняются на доп оборудовании, и вам приходит чистый трафик.
А вообще на вопрос без вводных данных, что вы защищаете - ответ будет пальцем в небо.

Comments

[Rett-oo]

Защищается обычный сервер организации, на котором развернута БД, 1С и прочее ПО. Я сам не админ, просто нужно выбрать и проконтролировать работу одного из вариантов

[Daemon23RUS]

Rett-oo, А сервер то в организации стоит ? Нужно выбрать системного администратора обладающего необходимыми знаниями. Защитить сервер от школоты - это один уровень безопасности. Создать эшелонированную оборону - другой. Затраты тоже отличаются на порядки. Вам вероятно придется искать компромисс. Поймите, firewall это ну ооочень гибкий инструмент. Нужен только мастер.

[Rett-oo]

Daemon23RUS, нет, сервер арендуется у ЦОДа. Естественно защита нужна не простая, как минимум от любых видов брутфорс и ддос атак. Админ есть, он рекомендует добавить к серверу роутер. Я в целом склонен ему доверять, у него компетенций больше, но я не понимаю, почему нельзя воспользоваться firewall`ом установив его на сервере?

[Daemon23RUS]

Rett-oo, Я, при том минимуме информации, соглашусь с сисадмином. 2 забора лучше одного. Та зараза что пролезет через 1й, вероятно споткнется о 2й. Но повторюсь, тут оочень много ньюансов. Например ДДос положит firewall на сервере. А брутфорс с большой долей вероятности просочится через роутер.

[Daemon23RUS]

Rett-oo, если упростить, то грубую очистку выпоолнит роутер, а тонкую firewall на самом сервере

[Rett-oo]

Daemon23RUS, понял, благодарю, сейчас понимание получше, буду гуглить дальше

[maxsmeller]

Rett-oo, нанять админа, заплатить ему, перепроверить его работу, когда не обладаешь должной квалификацией, отличное построение взаимодействия.

[Rett-oo]

maxsmeller, прочитайте диалог хорошо. Здесь не идет речь о проверке его работы, речь идет о выборе оптимального единственного варианта для начала. А так же деталях работы того или иного способа

[maxsmeller]

Rett-oo, Всё правильно я сказал, делай сам или найми специалиста, а у тебя так, найми специалиста и делай потом сам. Твое дело.