Với việc bổ sung giải pháp Tường lửa đám mây Linode , hiện có hai cách chính để kiểm soát lưu lượng mạng trên một Phiên bản tính toán thông qua Tường lửa đám mây hoặc phần mềm tường lửa được cài đặt cục bộ. Mặc dù cả hai đều là giải pháp mạnh mẽ, nhưng có thể có một số trường hợp nhất định mà bạn chọn sử dụng giải pháp này hơn giải pháp kia. Thông thường, cả hai giải pháp nên được sử dụng song song.

Tường lửa đám mây

Dịch vụ Linode Cloud Firewalls miễn phí là giải pháp tường lửa mạnh mẽ hoạt động giữa các dịch vụ Linode của bạn và internet. Nó cung cấp giao diện dễ sử dụng để lọc lưu lượng mạng không mong muốn. Thông qua dịch vụ này, bạn có thể tạo, cấu hình và thêm tường lửa dựa trên mạng có trạng thái vào bất kỳ Compute Instance hoặc NodeBalancer nào.

• Chi phí: Miễn phí
• Giao diện: Cloud Manager (giao diện người dùng đồ họa), Linode CLI (giao diện dòng lệnh) và Linode API (giao diện lập trình ứng dụng).
• Dễ sử dụng: Tương đối dễ cấu hình bằng các công cụ mà khách hàng có thể đã quen thuộc.
• Khả năng cấu hình nâng cao: Hỗ trợ nhiều quy tắc tường lửa phổ biến, nhưng không hỗ trợ tất cả các tùy chọn cấu hình có sẵn trên các giải pháp dựa trên phần mềm như nftables.
• Các trường hợp sử dụng lý tưởng:
  • Người dùng muốn cấu hình tường lửa một cách thuận tiện bằng công cụ Linode quen thuộc.
  • Áp dụng quy tắc liên tục trên nhiều máy chủ cùng lúc.
  • Tự động tạo quy tắc thông qua phần mềm tương thích với API Linode (chẳng hạn như tích hợp trực tiếp với phần mềm tùy chỉnh hiện có của bạn).
  • Người dùng muốn cấu hình các quy tắc tường lửa đến cho NodeBalancer.

Phần mềm tường lửa

(Bao gồm nftables, iptables, ufw và firewalld)

Phần mềm tường lửa tiêu chuẩn có sẵn trên hầu hết các bản phân phối Linux hiện đại là nftables , thay thế cho phần mềm iptables cũ hơn. Cả hai tiện ích này đều là các khung lọc gói tích hợp với hạt nhân Linux. Các giải pháp phần mềm này được cấu hình thông qua dòng lệnh. Cú pháp của chúng khá khác nhau và việc xây dựng các quy tắc có thể phức tạp đối với người mới bắt đầu. Để làm cho các tiện ích này thân thiện với người dùng hơn, nhiều bản phân phối sử dụng một công cụ giao diện người dùng dễ sử dụng. Chúng bao gồm UFW (Uncomplicated Firewall) trên Ubuntu và Debian và firewalld trên CentOS và các phiên bản phái sinh của RHEL.

• Chi phí: Miễn phí
• Giao diện: Công cụ giao diện dòng lệnh
• Dễ sử dụng: Khó hơn vì cần có dòng lệnh và cú pháp quy tắc có thể khá phức tạp, đặc biệt là khi làm việc trực tiếp với nftables hoặc iptables .
• Khả năng cấu hình nâng cao: Cung cấp cấu hình toàn diện hơn cho các quy tắc phức tạp.
• Các trường hợp sử dụng lý tưởng:
  • Người dùng cảm thấy thoải mái với cả dòng lệnh và cú pháp của phần mềm.
  • Tạo các quy tắc tường lửa phức tạp.
  • Tự động tạo quy tắc thông qua phần mềm như fail2ban .

Quyết định sử dụng tùy chọn nào

Khi quyết định sử dụng giải pháp tường lửa nào, hãy cân nhắc đến nhu cầu riêng và các yêu cầu cho ứng dụng của bạn.

• Sự quen thuộc: Một lý do chính khiến bạn có thể quyết định sử dụng tùy chọn này thay vì tùy chọn khác là mức độ thoải mái của bạn với các công cụ và giao diện cần thiết để cấu hình từng tường lửa. Nếu bạn quen thuộc hơn với công cụ của riêng Linode (chẳng hạn như Cloud Manager hoặc CLI), dịch vụ Tường lửa đám mây có thể dễ dàng cấu hình nhanh hơn đối với bạn. Nếu bạn quen thuộc hơn với nftables hoặc phần mềm front-end như UFW , bạn có thể muốn gắn bó với các công cụ và quy trình làm việc hiện tại của mình. Hãy cân nhắc mức độ quen thuộc của toàn bộ nhóm của bạn với công cụ, không chỉ của riêng bạn.
• Tùy chọn cấu hình: Mặc dù mỗi giải pháp đều khá mạnh mẽ, nhưng việc sử dụng nftables cho phép tạo ra các quy tắc phức tạp nhất và cung cấp khả năng kiểm soát tuyệt đối đối với tường lửa. Tuy nhiên, Tường lửa đám mây thường dễ cấu hình hơn và có thể áp dụng cho nhiều dịch vụ Linode. Điều này cho phép bạn nhanh chóng thêm hoặc sửa đổi các quy tắc tường lửa trên nhiều Compute Instance cùng một lúc.
• Khả năng tự động hóa: Một số sản phẩm phần mềm Linux đã tích hợp trực tiếp với nftables và có thể tự động tạo các quy tắc tường lửa. Có lẽ ví dụ được sử dụng phổ biến nhất về điều này là fail2ban , có thể tự động tạo các quy tắc tường lửa để cấm vĩnh viễn hoặc tạm thời lưu lượng truy cập đáng ngờ. Nếu bạn đang cấu hình phần mềm của riêng mình, bạn có thể thấy dễ dàng hơn khi tích hợp với API Linode và sử dụng Tường lửa đám mây thay vì tích hợp trực tiếp với tường lửa dựa trên phần mềm.

Kết hợp cả hai giải pháp

Mặc dù Tường lửa đám mây và phần mềm tường lửa cục bộ là những công cụ riêng biệt, nhưng chúng thường có thể được sử dụng cùng nhau để kết hợp sức mạnh của chúng và tạo ra giải pháp tường lửa mạnh mẽ hơn nữa.

Hãy cân nhắc sử dụng Tường lửa đám mây để cung cấp một tuyến phòng thủ trước khi lưu lượng truy cập đến máy chủ của bạn. Nó rất thân thiện với người dùng và có thể nhanh chóng truyền các quy tắc qua nhiều Linode Compute Instance khác nhau . Hãy cân nhắc sử dụng phần mềm Tường lửa như nftables khi bạn cần tạo các quy tắc phức tạp và muốn tích hợp tường lửa của mình với phần mềm hiện có như fail2ban .

Khi sử dụng cả hai giải pháp cùng nhau, hãy cân nhắc khi nào mỗi quy tắc sẽ được xử lý trên lưu lượng đến và đi. Đối với lưu lượng đến, các quy tắc Cloud Firewall được xử lý trước. Đối với lưu lượng đi, các quy tắc tường lửa cục bộ được xử lý trước.