Брандмауэр Google Computer Engine и IpTables
Я очень плохо знаком с администрированием серверов и только что обнаружил, что могу использовать Google Compute Engine для размещения своего веб-сайта аналогично тому, как он работает с Linode или Digital Ocean. Я не уверен в следующих вопросах, связанных с настройкой брандмауэра с помощью Google Compute Engine:
1) Я вижу, что Google Compute Engine поставляется с настройкой брандмауэра, которую мы можем использовать для каждого экземпляра. Так что в этом случае означает ли это, что мне не нужно открывать и закрывать порты в iptable также при настройке CentO с веб-сервером Nginx на GCE?
2) Если Google Compute Engine выполняет ту же работу, что и iptables, нужно ли мне устанавливать какие-либо специальные правила брандмауэра для блокирования пустых пакетов, отклонения атаки Syn-Flood, отклонения пакетов XMAS и т. Д. Для брандмауэра GCE или это не нужно?
1 ответ
Брандмауэр GCE работает на уровне проекта, а IPtables работает на уровне ОС. Чтобы экземпляр мог видеть входящее соединение, оба брандмауэра должны разрешить это.
- Брандмауэр GCE блокирует весь входящий трафик к экземплярам по умолчанию, если это явно не разрешено правилом брандмауэра. Правила разрешают входящий трафик из диапазона IP-адресов, списка протоколов (ICMP, TCP и UDP) и списка портов, и они могут быть ограничены в некоторых случаях с помощью тегов.
- Брандмауэр GCE не такой гибкий, как IPtables, и он не подходит для этого. Вместо этого брандмауэр GCE фокусируется на 90% случаев использования брандмауэра: избегайте несанкционированных входящих подключений к вашим экземплярам.
Здесь вы найдете краткое введение и все возможности, которые есть у вас с правилами брандмауэра GCE.