firewall مناسب برای هاستینگ

پیشنهاد منcsf فایروال بسیار خوبی است

نقل قول:

---

نوشته اصلی توسط hamed-f

چون تعداد brot force و لاگین ها به سرور زیاد شده و از طرف دیگه ddas هم پیش اومد به همین خاطر برای افزایش امنیت گفتم بهتره فایروال دیگه ای هم نصب کنم
مثل csf - apf - lfd ,...
دوستانی که تجربه بیشتری دارن لطفا راهکار مناسب برای افزایش امنیت رو عنوان کنن:

- - - Updated - - -

دوستان منتظر نظرات شما هستم

- - - Updated - - -

؟

---

اصلا csf نمیتونه حلوی دیداس رو بگیره مخصوصا لایه ی 4
و به عهده ی دیتاسنتر هست
و دیتاسنتر هتزنر و بیشتر دیتاسنتر ها آیپی رو نال روت میکنند

بهترین دیتاسنتر که دیدم جلوی دیداس لایه ی 4 مقاومت کرد ovh بود

سلام
csf و یا فایر وال پیشفرض. و اگه مشکل جدی باشهفایروال سخت افزاری

تا انجا که من دیدم بیشتر دوستان csf استفاده کردن ( دور اطراف من)

منم csf پیشنهاد میکنم .

البته نه فقط نصبش کانفیگ امنیتی کامل باید روش انجام بدی .

توی همین انجمن میتونی کانفیگ و آموزش های خوبی گیر بیاری .

نظرات برخی دوستان بسیار جالب هستند!! :)

محض اطلاع جمع، CSF تنها یک interface هست و مبتنی بر همان iptables و البته بسیاری از نرم افزار های مشابه نیز به همین منوال کار می کنند. همچنین csf به عنوان یک پوشش دهنده بصورت خودکار تنظیمات مربوط به iptables را برای شما انجام می دهد. و البته جالب است بدانید همین پکیج ConfigServer متشکل از چندین نرم افزار Open Source و رایگان می باشد و حتی rule های مورد نیاز خود را نیز از دیتابیس های رایگان دریافت و بروز رسانی می کند و هزینه ای که می پردازید صرفا بابت نصب و راه اندازی این سیستم ها کنار یکدیگر و نیز یک محیط کاربری بسیار ساده تحت وب می باشد که عملا بی ارزش است. اگر دنبال یک اینترفیس خوب و حرفه ای می گردید، ASL شرکت AtomiCorp بسیار بهتر و با ارزش تر از ConfigServer می باشد و برای درک چرایی آن بهتر است مسائل فنی و تفاوت های این دو را دقیق تر مطالعه کنید.

مسئله بعدی در مورد نحوه کارکرد فایروال هاست. یک فایروال به تنهایی فقط دو نوع دستور را درک می کند: Allow و Deny (که بر روی آدرس های IP، پورت ها، دامنه ها، پروتکل ها، محتوی و ... اعمال می شوند) و عملا هوشمند نیست. بنابراین نیاز هست تا یک نرم افزار هوشمند و یا یک متخصص انسانی نسبت به نوشتن دستورات (rules) برای آن اقدام کند.

در مورد DDoS هم چنانچه نوع حمله به درستی تشخیص داده شود، تنها نوشتن دستورات جلوگیری کننده از آن کافی نیست بلکه سرور می بایست توان پردازش و تحلیل آن حجم از اطلاعات را نیز داشته باشد و به همین جهت استفاده از فایروال های سخت افزاری مجزا با توان مورد نظر در کنار سرور اصلی پیشنهاد می شود و هر چه این توان پردازش بالاتر باشد appliance مورد نیاز نیز گران قیمت تر خواهد بود.

همچنین توانایی یک واحد ایمنی در تشخیص و خنثی سازی حملات مختلف نیازمند تکنولوژی و قدرت پردازشی کافی و همچنین ابزار ها و راهکار های متعدد (فایروال، تشخیص هک، ضد هک، ضد بد افزار، ضد اسپم و ...) می باشد و اینجاست که هزینه یک سیستم محافظ سر به فلک می کشد و از این رو تنها دیتاسنتر است که توان چنین سرمایه گذاری را دارد. هر چند استفاده از شبکه های واسطی همچون CloudFlare که در سرویس های مبتنی بر شبکه خود خدمات امنیتی را نیز لحاظ کرده اند، مفید و مؤثر خواهد بود.

نقل قول:

---

نوشته اصلی توسط nexinel

نظرات برخی دوستان بسیار جالب هستند!! :)

محض اطلاع جمع، CSF تنها یک interface هست و مبتنی بر همان iptables و البته بسیاری از نرم افزار های مشابه نیز به همین منوال کار می کنند. همچنین csf به عنوان یک پوشش دهنده بصورت خودکار تنظیمات مربوط به iptables را برای شما انجام می دهد. و البته جالب است بدانید همین CSF متشکل از چندین نرم افزار Open Source و رایگان می باشد و هزینه ای که می پردازید صرفا بابت نصب و راه اندازی این سیستم ها کنار یکدیگر و نیز یک محیط کاربری بسیار ساده تحت وب می باشد که عملا بی ارزش است. اگر دنبال یک اینترفیس خوب و حرفه ای می گردید، ASL شرکت AtomiCorp بسیار بهتر و با ارزش تر از CSF می باشد و برای درک چرایی آن بهتر است مسائل فنی و تفاوت های این دو را دقیق تر مطالعه کنید.

مسئله بعدی در مورد نحوه کارکرد فایروال هاست. یک فایروال به تنهایی فقط دو نوع دستور را درک می کند: Allow و Deny (که بر روی آدرس های IP، پورت ها، دامنه ها، پروتکل ها و ... اعمال می شوند) و عملا هوشمند نیست. بنابراین نیاز هست تا یک نرم افزار هوشمند و یا یک متخصص انسانی نسبت به نوشتن دستورات (rules) برای آن اقدام کند.

در مورد DDoS هم چنانچه نوع حمله به درستی تشخیص داده شود، تنها نوشتن دستورات جلوگیری کننده از آن کافی نیست بلکه سرور می بایست توان پردازش و تحلیل آن حجم از اطلاعات را نیز داشته باشد و به همین جهت استفاده از فایروال های سخت افزاری مجزا با توان مورد نظر در کنار سرور اصلی پیشنهاد می شود و هر چه این توان پردازش بالاتر باشد appliance مورد نیاز نیز گران قیمت تر خواهد بود.

همچنین توانایی یک واحد ایمنی در تشخصی و خنثی سازی حملات مختلف نیازمند تکنولوژی و قدرت پردازشی کافی و همچنین ابزار ها و راهکار های متعدد (فایروال، تشخیص هک، ضد هک، ضد بد افزار، ضد اسپم و ...) می باشد و اینجاست که هزینه یک سیستم محافظ سر به فلک می کشد و از این رو تنها دیتاسنتر است که توان چنین سرمایه گذاری را دارد. هر چند استفاده از شبکه های واسطی همچون CloudFlare که در سرویس های مبتنی بر شبکه خود خدمات امنیتی را نیز لحاظ کرده اند، مفید و مؤثر خواهد بود.

---

بله نظر همه جالبه .
نظر شما جالبه .
نظر من جالبه .
انجمن جالبه .
کلآ همه چی جالبه .

خیلی نوضیحات تکمیلی و خوبی بود و بنده به شخصه استفاده برده ام بلــه .. جالب بود .
CloudFlare هم جالبه اما چیزی که به نظر من جالب نیست اون صفحه ای هست که کاربر پشتش نگه میداره تا شناساییش کنه و ببینه ربات یا کاربر واقعی .
csf هم جالبه چون که نسبتآ کامل نسبت به موارد مشابه رایگان .
فایروال سخت افزاری هم خیلی جالبه اما اون هزینه گزافش برای کابر معمولی و تا حدی بالا اصلآ جالب نیست .

نقل قول:

---

نوشته اصلی توسط clack

بله نظر همه جالبه .
نظر شما جالبه .
نظر من جالبه .
انجمن جالبه .
کلآ همه چی جالبه .

خیلی نوضیحات تکمیلی و خوبی بود و بنده به شخصه استفاده برده ام بلــه .. جالب بود .
CloudFlare هم جالبه اما چیزی که به نظر من جالب نیست اون صفحه ای هست که کاربر پشتش نگه میداره تا شناساییش کنه و ببینه ربات یا کاربر واقعی .
csf هم جالبه چون که نسبتآ کامل نسبت به موارد مشابه رایگان .
فایروال سخت افزاری هم خیلی جالبه اما اون هزینه گزافش برای کابر معمولی و تا حدی بالا اصلآ جالب نیست .

---

به هر صورت یک سرور عادی با توان پردازشی کم، هر چقدر هم نرم افزار قوی برای امنیت خود داشته باشد، اما زیر بار فشار می خوابد.

در مورد صفحه CloudFlare هم تنها زمانی نمایش داده می شود که آدزس IP شما جزء Black List باشد و به جای آنکه کلا شما را Ban کنند، این فرصت را می دهند تا خودتان را تصدیق کنید.