Что за стена огня и как ее настроить? А вот мы сейчас и расскажем основные принципы и покажем их на примере Спринтбокс
Зачем нужен файрвол?
Файрвол — это один из важнейших инструментов для обеспечения безопасности вашего веб-сайта и серверов. Он помогает защитить инфраструктуру от различных киберугроз, контролируя входящий и исходящий трафик на основе заранее заданных правил.
Файрвол выполняет несколько ключевых функций:
- Фильтрация трафика. Ограничивает доступ к вашему серверу, до него могут «достучаться» только разрешенные IP-адреса
- Защита от атак. Помогает предотвратить различные виды атак, например, SQL-инъекции или кросс-сайтовый скриптинг (XSS)
- Мониторинг активности. Отслеживает сетевую активность, может показать подозрительные действия
Основные настройки файрвола
Мы рассмотрим настройку на примере нашего сервиса, у других может в чем-то отличаться, но в целом все одно и то же.
У нас файрвол можно настроить как на аккаунте, так и внутри VDS (боксов). Но мы остановимся на настройке внутри Панели управления, потому что она проще и безопаснее. Если встроенный в бокс файрвол перестанет работать, наш продолжит его защищать.
Теперь о самих настройках:
1. Создание правил файрвола
Правила определяют, какой трафик разрешен. У нас это работает по принципу белого списка: «запрещено все, что не разрешено».
- Добавление нового правила. Переходите в Файрвол и там нажимаете на Новый файрвол, в котором можно указать параметры
- Тип правила. Выберите, для какого трафика применяется правило: входящего или исходящего
- Тип трафика. Здесь список большой: от TCP до SSH
- Протокол. Укажите протокол: TCP, UDP или ICMP
- Порт. Определите порт или диапазон портов, к которым применяется правило. Если оставить поле пустым, правило определится для всех портов
- Источник и назначение. Укажите IP-адреса или их диапазоны источника и назначения
- Выбор VDS. Здесь указывается, для каких боксов будут работать правила: для всех или для какого-то конкретного
Стоит обратить внимание на особенности вашей ОС на боксе: некоторые правила могут отличаться, например, для Ubuntu и для CentOS
2. Пример настройки
Допустим, вы хотите разрешить доступ к вашему веб-серверу только для HTTP и HTTPS трафика. Это можно сделать следующим образом.
Правило для HTTP:
- Тип трафика: Входящий
- Протокол: TCP
- Порт: 80 (HTTP)
- IP-адреса: Все IPv4 и IPv6
- Назначение: Ваш сервер
И для HTTPS:
- Тип трафика: Входящий
- Протокол: TCP
- Порт: 443 (HTTPS)
- IP-адреса: Все IPv4 и IPv6
- Назначение: Ваш сервер
Все, что не является HTTP и HTTPS будет блокироваться
Для популярных стеков у нас есть отдельные вкладки для еще более быстрой настройки файрвола: LAMP, LAMP+ISPmanger, LAMP+HestiaCP
3. Применение и проверка правил
После создания всех необходимых правил нужно сохранить их, чтобы изменения вступили в силу (а как иначе?). Рекомендуется протестировать работу файрвола, чтобы убедиться, что правила настроены правильно и не блокируют легитимный трафик.
Также можно созданный файрвол добавить к другому боксу позже, настройки-то сохранятся
Нет ничего важнее безопасности
Настроить файрвол достаточно просто, так как в Панели все это делается в пару кликов и не нужно лезть внутрь бокса. С другой стороны, можно настроить файрвол и внутри, и снаружи — двойная защита лучше одной :)
Ради безопасности ваших проектов критически важно настраивать файрвол. Следуя простым рекомендациям выше, вы сможете защитить свою инфраструктуру от множества угроз.
И всегда можно задавать вопросы поддержке и прочитать еще более подробную статью в нашей Базе знаний. Там и про другие настройки есть!
