升inode 是一个原始的云平台，创建于 AWS 之前。 那时，我们习惯称它们为 VPS（虚拟专用服务器）。 最近他们添加了一个新的防火墙功能来控制对我的 Linode 的网络访问 服务器从 Cloud. 让我们试驾Linode云防火墙。

什么是 Linode 云防火墙？

防火墙只不过是过滤掉到达您的 Linux 服务器或网络的恶意流量的简单规则。 我们使用防火墙来根据我们的需要阻止和允许网络流量。 例如，我可以允许唯一的特定 IP 地址通过 SSH 登录。 当然，您需要为每个 Linux 服务器启用并安装这样的防火墙。 云防火墙在网络级别执行相同的工作。 所以流量可以到达或拒绝。 我们可以轻松控制数据包流。 我们可以为服务器设置入站和出站规则。

但是我们不是有用于 Linux 服务器的 iptables、ufw、firewalld 吗？

许多开发人员、新闻 Linux 系统管理员和用户发现 iptables 语法很困难。 许多人最终设置了错误的防火墙策略，给他们一种虚假的错觉和安全感。 因此，可以使用云防火墙来保护服务器。 我们也称其为防火墙即服务 (FWaaS)，我们将过滤 IP 数据包的工作外包给 Linode 防火墙。 当然，我们可以结合云防火墙和iptables。 在某些情况下，您仍然需要 iptables。 例如，Linux 容器和基于 Docker 的应用程序需要 NAT 规则来将流量重定向到正确的容器。

试驾Linode云防火墙

添加 Linode 防火墙很简单。 我登录到我的 Linode 管理器并从左侧菜单中选择了防火墙。 单击“添加防火墙”。 我们也可以使用 CLI 选项：

Linode 防火墙设置了合理的入站规则，默认情况下允许 DNS 和 SSH 流量。 没有设置出站规则，默认情况下允许来自我的 Linux 服务器的所有流量：

由于我将托管一个网站，因此我需要打开 TCP 443 (HTTPS) 和 80 (HTTP) 端口。 您可以打开任何端口并控制对特定 IP 地址的访问或允许所有人使用该网站：

让我们将 SSH 流量限制为 OpenVPN 或 Wireguard CIDR 10.8.1.0/24 或公共 IP 地址，例如 1.2.3.4：

默认情况下，乒乓请求被阻止。 让我们做个好网友，允许ICMP使用自定义规则：

Linode 出站规则根据我们配置的端口和目的地限制来自 Linode 服务的出站网络连接。 默认情况下，允许来自服务器的所有传出请求，但我决定加强 IP 安全策略。 最后是它的样子：

但是，我错过了两个功能：

1. SSH 或任何其他端口的速率限制。 例如，拒绝来自在过去 30 秒内尝试启动六个或更多连接的 IP 地址的连接。 该功能将是整洁的。
2. 我还想看到自定义规则的自定义备注文本框。 假设我需要找出 UDP/1194 入站规则的设置。

我希望他们添加这两个小功能，它会使产品变得更好。

如何验证 Linode 云防火墙设置的 IP 策略

在 Linux 或 macOS/BSD 桌面上使用 nmap 命令：
sudo nmap your-linode-ip-here

示例输出：

Nmap scan report for li2xyz-abc.members.linode.com (172.10z.xxx.yyy)
Host is up (0.016s latency).
Not shown: 998 filtered ports
PORT    STATE  SERVICE
80/tcp  closed http
443/tcp closed https

加起来

总的来说，我发现用户界面易于使用，非常适合新的 Linux 开发人员或系统管理员。 外包云防火墙消除了设置有效 IP 策略的猜测。 我总是喜欢 close 所有窗口并打开所需的 TCP/UDP 端口 IP 策略方法。 安全对我来说就像洋葱。 您需要不同的层来保护您的网站或应用程序。 因此，除了 Linode 云防火墙之外，我们还需要安装 WAF（Web 应用程序防火墙），如 Nginx 的 ModSecurity 或 Apache. 对于 DoS/DDoS 攻击和机器人控制，您需要由 Cloudflare、Fastly、AWS 等提供的分布式云防火墙。 不要忘记查看 Linode 防火墙 文档，因为它提供了更多信息.

免责声明：Linode 自 2017 年以来一直是 nixCraft 的企业赞助商。我作为一个快乐的用户写这篇评论，并向我的所有客户和博客访问者推荐它们。