ปัจจุบันไฟร์วอลล์จำเป็นจริงๆหรือ [ปิด]

13

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังว่าคำตอบจะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ

ปิดให้บริการใน9 ปีที่ผ่านมา

ฉันควรติดตั้งบางอย่างเช่น gufw หรือไม่

security firewall

— TheXed
แหล่งที่มา

5

ฉันคิดว่าคำถามนี้กว้างเกินไปที่จะตอบวัตถุประสงค์อย่างถูกต้อง

— Stefano Palazzo

ฉันสมมติว่าคุณหมายถึงไฟร์วอลล์ที่อิงกับโฮสต์ไม่ใช่ไฟร์วอลล์เดี่ยว แต่ฉันเห็นด้วยกับสเตฟาโนว่านี่เป็นหัวข้อที่กว้างเกินไปสำหรับคำตอบที่ชัดเจน มากขึ้นอยู่กับบริบท - ที่ที่ระบบของคุณอยู่, บริการใดที่คุณกำลังทำงานอยู่, สิ่งที่ควบคุมความปลอดภัยอื่น ๆ ในสถานที่, สิ่งที่มูลค่าของ uptime ของคุณ (สำหรับการปฏิเสธการบริการ) และข้อมูลคือ (การเงิน, กรรมสิทธิ์, ไม่สามารถถูกแทนที่) ฯลฯ หลักการทั่วไปสำหรับการรักษาความปลอดภัยที่ระมัดระวังคือการใช้การป้องกันที่หลากหลาย หากไม่ได้รับในทางของกิจกรรมประจำวันของคุณเพิ่มชั้นของการรักษาความปลอดภัยเพิ่มเติมมีข้อบกพร่องเล็กน้อยและผลประโยชน์น่าจะเป็น

— belacqua

นอกจากนี้sudo nmap localhost. ตอนนี้คุณมีพอร์ตที่เปิดอยู่หรือไม่? (การประมาณคร่าวๆ)

— belacqua

sudo nmap localhostคำสั่งนี้ใช้งานไม่ได้

— TheXed

1

@TheX นั่นเพราะไม่มีการติดตั้ง namp?

— theTuxRacer

7

ใช่มากขึ้นกว่าเดิม อินเทอร์เน็ตไม่ได้เปลี่ยนแปลงอะไรมากมายตั้งแต่สมัยก่อน ไฟร์วอลล์ในปัจจุบันยังมีความจำเป็น ไฟร์วอลล์เช่น gufw โดยมีกฎพื้นฐานทำงาน ใช้ iptables หากคุณเป็น CLI geek;)

— theTuxRacer
แหล่งที่มา

โปรดแสดงความคิดเห็นว่าทำไมคุณถึงลงคะแนน

— theTuxRacer

1

ออกเสียงลงคะแนน ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;

— Lekensteyn

1

คำตอบที่ไม่ถูกต้อง.

— psusi

1

@psusi คุณกำลังบอกว่าสิ่งนี้ไม่ถูกต้องเพราะคุณไม่เห็นด้วยกับหลักฐานว่าการใช้ไฟร์วอลล์แบบโฮสต์เป็นความคิดที่ดีหรือเพราะคุณไม่เห็นด้วยกับการประเมิน ufw / iptables?

— belacqua

1

@jgbelacqua มันไม่ถูกต้องเพราะไฟร์วอลที่ใช้โฮสต์สำหรับระบบเดสก์ท็อป Ubuntu นั้นไม่มีจุดหมายและไม่จำเป็นต้องเพิ่มมากขึ้นกว่านี้ คำถามที่ Manish เชื่อมโยงกับมีคำอธิบายที่ดีมากว่าทำไม

— psusi

5

โปรดตรวจสอบคำตอบนี้สำหรับการสนทนาเพิ่มเติมเกี่ยวกับไฟร์วอลล์บน Ubuntu

เหตุใดจึงปิดใช้งานไฟร์วอลล์เป็นค่าเริ่มต้น

— Manish Sinha
แหล่งที่มา

3

ไม่ต้องสงสัยเลยว่าจะใช้เพียงผู้สอดแนมฉวยโอกาสเพียงหนึ่งเดียวที่จะทำให้ไม่มีปัญหา ความสับสนอยู่ในวิธีที่คุณดำเนินการเพื่อให้มั่นใจว่าคุณอยู่หลังไฟร์วอลล์

มีการอธิบายรายละเอียดเพิ่มเติมที่นี่: มีไฟร์วอลล์ที่ติดตั้งไว้ล่วงหน้าหรืออัตโนมัติหรือไม่ แต่ในระยะสั้นหากคุณอยู่ในเครือข่ายในบ้านหลังเราเตอร์ไร้สายจากนั้นเราเตอร์ของคุณจะทำหน้าที่ไฟร์วอลล์ตามปกติ เห็นได้ชัดว่าเป็นความคิดที่ดีที่จะตรวจสอบกับผู้ผลิตก่อนที่คุณจะพึ่งพาสิ่งใด (ขึ้นอยู่กับการกำหนดค่าเราเตอร์ด้วย)

GUFW ไม่ใช่ในตัวของมันเองไฟร์วอลล์เพียงแค่ GUI สำหรับไฟร์วอลล์เริ่มต้นของอูบุนตู (UFW) UFW ถูกปิดโดยปริยาย โดยทั่วไปแนะนำให้รันเพียงไฟร์วอลล์เดียวเท่านั้นเพื่อหลีกเลี่ยงความขัดแย้งที่อาจเกิดขึ้นดังนั้นหากคุณอยู่ในเครือข่ายในบ้านที่เชื่อถือได้ (และคุณมั่นใจว่าเราเตอร์ของคุณให้การป้องกันที่เพียงพอ) id แนะนำให้ปิดไฟร์วอลล์ซอฟต์แวร์

เห็นได้ชัดว่าเปิดใหม่อีกครั้งเมื่อคุณอยู่ในเครือข่ายสาธารณะ / ไม่น่าเชื่อถือ

— richzilla
แหล่งที่มา

ไม่มีอันตรายใด ๆ ในการใช้ไฟร์วอลล์ซอฟต์แวร์ส่วนบุคคล ... โดยทั่วไปแล้วเป็นความคิดที่ดีและเสนอ 'การป้องกันเชิงลึก' กับเครื่องที่มีพฤติกรรมไม่ดีในเครือข่ายท้องถิ่นของคุณ

— Nerdfest

ฉันเห็นด้วยตราบใดที่มีการกำหนดค่าไฟร์วอลล์ในลักษณะเดียวกัน จำนวนชั่วโมงที่ใช้ไปกับการวินิจฉัยปัญหาเครือข่ายเพียงเพื่อค้นพบไฟร์วอลล์สองตัวที่ไม่สอดคล้องกับสิ่งที่พวกเขายอมให้ผ่าน ...

— richzilla

1

ข้างใน LAN ของฉัน: ไม่มีไฟร์วอลล์ หันหน้าไปทางอินเทอร์เน็ต: แน่นอนไฟร์วอลล์ ฉันใช้ไฟร์วอลล์ตามวิธีที่ฉันเชื่อถือคอมพิวเตอร์ที่ฉันเชื่อมต่อด้วย

— djeikyb

2

ฉันอยากจะแนะนำให้ติดตั้งไฟร์วอลล์ สิ่งที่ดีกว่าไม่มีอะไรเสมอไป ไม่ใช่เหรอ Ubuntu โดยค่าเริ่มต้นมาพร้อมกับไฟร์วอลล์ ' ufw ' gufw (พูดถึงในคำถาม) ไม่มีอะไรนอกจาก GUI ของ 'ufw'

หวังว่านี่จะช่วยได้

— aneeshep
แหล่งที่มา

1

เพียงแค่ทราบ: iptables ไม่ใช่ไฟร์วอลล์ Netfilter คือซึ่งเป็นส่วนหนึ่งของเคอร์เนล linux iptables เป็นยูทิลิตีบรรทัดคำสั่งเท่านั้นซึ่งใช้เพื่อแก้ไข / เคียวรี netfilter ruleset

— LGB

อีกคำตอบที่ไม่ถูกต้อง

— psusi

@LGB จาก wikipedia: iptables เป็นแอปพลิเคชั่นพื้นที่ผู้ใช้ที่อนุญาตให้ผู้ดูแลระบบกำหนดค่าตารางที่กำหนดโดยไฟร์วอลล์เคอร์เนล Linux (นำมาใช้เป็นโมดูล Netfilter ที่แตกต่างกัน) และเชนและกฎที่เก็บไว้ ตอนนี้ฉันสับสน

— theTuxRacer

@aneesheep ฉันจะบอกว่านี่เป็นสิ่งที่ทำให้เข้าใจผิดเพราะuwfเป็นส่วนหน้าiptables(ซึ่งเป็นส่วนต่อประสานกับ netfilter) คุณไม่สามารถติดตั้ง ufw ได้หากไม่มี iptables

— belacqua

ขอบคุณเพื่อนที่นำฉันไปสู่ทิศทางที่ถูกต้อง ฉันลบส่วนของ iptables ออกจากคำตอบแล้ว

— aneeshep

1

Ubuntu ควรมาพร้อมกับไฟร์วอลล์เริ่มต้นที่เปิดใช้งานด้วยเครื่องมือ GUI ด้วย ฉันประหลาดใจที่มันไม่ได้มาพร้อมกับมัน ฉันรู้ว่าiptablesมีอยู่แล้ว แต่ไม่มีกฎโหลด คุณต้องทำด้วยตนเองหรือติดตั้งสิ่งต่าง ๆ เช่นFirestarterเพื่อให้ได้พื้นฐานสำหรับคุณ

ฉันประหลาดใจมากวันหนึ่งเมื่อฉันพบว่า ISP ของฉันให้ IP สาธารณะของฉันทุกครั้งที่เปิดใช้งาน DSL ลองนึกภาพว่ามีผู้เข้าชมจำนวนเท่าใดพยายามเข้าสู่ระบบ SSH การสแกนอื่น ๆ และการหาช่องโหว่ MS (ใช่มีคนใช้งานบน IP ของ ISP ของฉัน) เครื่องของฉันเริ่มทำงานตลอดเวลา ฮ่า ๆ! :)

— มาร์กี
แหล่งที่มา

2

และเครื่องของคุณจะไม่สนใจพวกเขาทั้งหมดโดยไม่ต้องใช้ไฟร์วอลล์

— psusi

เครื่องจะไม่เพิกเฉยหากมีบริการฟังในพอร์ตใดพอร์ตหนึ่งโดยเฉพาะ ในความเป็นจริงฉัน daresay เครื่องกระตือรือร้นที่จะยอมรับการเชื่อมต่อ

— theTuxRacer

1

@Kaustubh P หากมีบริการฟังอยู่บนพอร์ตคุณต้องให้มันยอมรับการเชื่อมต่อและจะเปิดพอร์ตนั้นในไฟร์วอลล์ หากไม่มีก็จะปฏิเสธการเชื่อมต่อกับพอร์ตนั้น

— psusi

1

ตามคำนิยามไฟร์วอลล์บล็อกการสื่อสารที่จะอนุญาต เครื่อง Ubuntu บนเดสก์ท็อปไม่มีบริการติดตั้งตามค่าเริ่มต้นที่จะยอมรับการเชื่อมต่อดังนั้นจึงไม่มีสิ่งใดที่ไฟร์วอลล์จะปิดกั้นการเข้าถึง ดังนั้นจึงไร้ประโยชน์อย่างสมบูรณ์

เหตุผลที่ไฟร์วอลล์ถือว่าเป็นสิ่งจำเป็นบน Windows ก็เพราะว่ามันมาพร้อมกับบริการสมองตายหลายค่าที่ติดตั้งโดยค่าเริ่มต้นซึ่งยอมรับการเชื่อมต่อและอนุญาตให้อีกฝ่ายทำสิ่งต่าง ๆ กับคอมพิวเตอร์ของคุณที่คุณไม่ต้องการ

— psusi
แหล่งที่มา

"ไร้ประโยชน์อย่างสมบูรณ์" - ผิด ไฟร์วอลล์จะเพิ่มการป้องกันอีกชั้นหนึ่ง คุณกำลังให้ข้อมูลที่ไม่ถูกต้องเช่นกันการติดตั้งเริ่มต้นของ Ubuntu มีบริการที่เปิดเผยต่อสาธารณะ ตัวอย่างเช่นจะให้ CUPS (ระบบการพิมพ์ Unix ทั่วไป) ฟังบนพอร์ต UDP 631

— Lekensteyn

1

หากคุณติดตั้งบริการใหม่ที่ใช้พอร์ตอื่น ๆ พวกเขาจะถูกทิ้งไว้เปิดจนกว่าคุณจะปิดพวกเขาหรือควบคุมพวกเขาด้วยไฟร์วอลล์

— theTuxRacer

OP ไม่ได้กล่าวถึงเดสก์ท็อปหรือเซิร์ฟเวอร์ แม้แต่บนระบบเดสก์ท็อปอย่างที่ @Kaustubh กล่าวไม่มีการรับประกันว่าเมื่อคุณออกจากการตั้งค่าดั้งเดิมพอร์ตจะไม่เปิด และบางครั้งพอร์ตต่างๆก็ถูกเปิดทิ้งไว้ในการอัพเดท

— belacqua

@Lekensteyn: ไม่ผิด ฉันขอแนะนำให้คุณอ่านคำถามอื่นที่ Manish เชื่อมโยงกับที่อธิบายไว้อย่างชัดเจน เมื่อปิดพอร์ตแล้วโปรแกรมที่ปิดพอร์ตจะไม่มีประโยชน์ CUPS ยอมรับเฉพาะการเชื่อมต่อจาก localhost โดยค่าเริ่มต้น

— psusi

2

โปรดดูwiki.ubuntu.com/SecurityTeam/FAQ#UFW หากคุณต้องการเปิดใช้งาน ufw มันเป็นเรื่องเล็กน้อยที่จะทำเช่นนั้น "sudo ufw enable"

— Kees Cook

1

ด้วยการเปิดตัว IPv6 ที่มีไฟร์วอลล์จะยิ่งมีความสำคัญยิ่งขึ้น ซึ่งแตกต่างจาก IPv4 ที่ระบบส่วนใหญ่มีความปลอดภัยในช่วง IP ส่วนตัวอุปกรณ์ IPv6 มีแนวโน้มที่จะสามารถเข้าถึงได้อย่างเต็มที่

การมีไฟร์วอลล์ที่มีนโยบายการปฏิเสธเริ่มต้นจะมีความสำคัญยิ่งกว่า การค้นหาอุปกรณ์ที่จะสแกนจะยากขึ้นเนื่องจากการใช้ที่อยู่เบาบาง การเก็บรักษาโปรโตคอลบางอย่างเช่น SMB บนที่อยู่ในลิงก์จะช่วยได้ แต่จะไม่เป็นเวทย์มนตร์

ดังกล่าวในการติดตั้งเริ่มต้นไฟร์วอลล์ที่ใช้งานเป็นเพียงชั้นความปลอดภัยเพิ่มเติม แอปพลิเคชันจำนวนมากที่เปิดพอร์ตจะต้องเปิดพอร์ตเพื่อให้สามารถใช้งานได้ ค่อนข้างดีทุกคนมีวิธีการเพิ่มเติมเพื่อรักษาความปลอดภัย เปิดใช้งานเลเยอร์ที่เหมาะสมทั้งหมดตามต้องการ

แก้ไข: มีความคิดเห็นมากมายเกี่ยวกับการอนุญาตให้แอปพลิเคชันควบคุมการเข้าถึงและเหตุผลอื่น ๆ ที่ไม่มีไฟร์วอลล์ น่าเสียดายที่แอพพลิเคชั่นหลายตัวไม่มีการควบคุมการเข้าถึง คนอื่น ๆ ฟังที่อยู่ทั้งหมดดังนั้นไฟร์วอลล์จึงเป็นวิธีเดียวในการ จำกัด การเข้าถึงจากอินเทอร์เฟซบางอย่าง

ดังที่ฉันได้กล่าวไว้ข้างต้นไฟร์วอลล์เป็นความปลอดภัยเพียงชั้นเดียว แอปพลิเคชันที่ปลอดภัยเป็นอีกแอปหนึ่ง แต่คุณไม่สามารถมั่นใจได้ว่าผู้ใช้ของคุณจะรันแอปพลิเคชันที่ปลอดภัยเท่านั้น ไฟร์วอลล์เป็นวิธีหนึ่งในการปกป้องผู้ใช้ของคุณ

ไม่มีมาตรการความปลอดภัยที่สมเหตุสมผลอย่างสมบูรณ์แบบ ในขณะที่ผู้ใช้หลายคนอาจไม่สนใจหรือมีความรู้เพียงพอที่จะเข้าใจไฟร์วอลล์อย่างสมบูรณ์นั่นไม่ใช่เหตุผลที่จะไม่ใช้ไฟร์วอลล์หรือสำหรับพวกเขาที่ไม่มีไฟร์วอลล์

— BillThor
แหล่งที่มา

3

นโยบายเริ่มต้นที่ไม่มีไฟร์วอลล์คือการปฏิเสธการเชื่อมต่อ คุณไม่จำเป็นต้องใช้ไฟร์วอลล์ในการทำเช่นนั้น คุณใช้ไฟร์วอลล์เพื่อเปลี่ยนนโยบาย BACK เพื่อปฏิเสธเมื่อคุณติดตั้งบริการที่พยายามยอมรับแล้ว แน่นอนถ้าคุณต้องการทำเช่นนั้นเพียงแค่ไม่ติดตั้งบริการเพื่อยอมรับการเชื่อมต่อในสถานที่แรก

— psusi

1

@psusi การถอนการติดตั้งบริการเป็นคำตอบที่ใช่ / ไม่ใช่ การใช้ไฟร์วอลล์ช่วยให้การควบคุมที่ละเอียดยิ่งขึ้น

— BillThor

มันอนุญาตการควบคุมที่ละเอียดยิ่งขึ้น แต่บริการมักจะอนุญาตการควบคุมที่ละเอียดยิ่งขึ้น เมื่อคุณติดตั้งบริการคุณกำหนดค่าให้ยอมรับการเชื่อมต่อที่คุณต้องการแทนที่จะใช้เครื่องมือแยกต่างหากเพื่อ จำกัด บริการต่าง ๆ มีค่าเริ่มต้นอย่างมีสติดังนั้นเมื่อคุณติดตั้งพวกเขาจะยอมรับเฉพาะการเชื่อมต่อจากโลคัลโฮสต์หรือเครือข่ายท้องถิ่นดังนั้นอีกครั้งไม่จำเป็นต้องใช้ไฟร์วอลล์

— psusi

@psusi บริการที่ได้รับมักจะมีการควบคุมที่ละเอียด แต่พวกเขาไม่ได้เข้าสู่ระบบเสมอเมื่อพวกเขาวางการเชื่อมต่อในลักษณะที่สอดคล้องกัน ไฟร์วอลล์สามารถให้การบันทึกที่สอดคล้องกันแม้ว่าการสแกนบันทึกอื่น ๆ จะเป็นประโยชน์ ไฟร์วอลล์สามารถบันทึกโพรบของบริการที่หายไป สิ่งนี้สามารถอนุญาตการบล็อกโฮสต์ต้นทางในลักษณะเชิงรุก

— BillThor

ผู้ใช้เดสก์ท็อปโดยเฉลี่ยของคุณไม่ทราบหรือไม่สนใจสิ่งนั้น แน่นอนมีบางสิ่งที่คุณสามารถทำได้กับ ipchains ที่คุณไม่สามารถทำได้กับ daemon ที่กำหนด แต่ไม่มีสิ่งใดที่ผู้ใช้เดสก์ท็อปทั่วไปจะพิจารณาว่า "จำเป็น"

— psusi

0

ทุกคนถูกต้องระวังและอาจใช้การป้องกันบางอย่างมันสามารถสร้างความยุ่งยากขึ้นอยู่กับสิ่งที่คุณทำ แต่บางครั้งคุณไม่สังเกตว่าความยุ่งยากพิเศษนั้นปกป้องคุณจริงๆ

วิธีหนึ่งที่คุณสามารถเพิ่มการป้องกันพิเศษที่ไม่ได้เป็นการล่วงล้ำเลยก็คือดูที่OpenDNSโดยทั่วไปเพียงเพิ่มการควบคุมที่ดีและคุณสมบัติความปลอดภัยเพิ่มเติมสำหรับการใช้อินเทอร์เน็ตขั้นพื้นฐาน

— Jon Phenow
แหล่งที่มา