Виртуальный файрвол — это программный фильтр трафика на арендованном виртуальном хостинге. Для маленького офиса он защищает сайт, CRM и соединения сотрудников, снижает риск взлома и простоя. В этой статье простыми словами расскажу, как поставить и настроить виртуальный файрвол на арендованном виртуальном хостинге, с примерами из белорусских реалий и конкретными шагами для выполнения.
Зачем офису в Минске нужен виртуальный файрвол
Сценарий: небольшое кафе в Центральном районе Минска ведёт сайт с меню и принимает заказы онлайн через простую CRM. Владелец сталкивается с бот‑сканированием, попытками перебора паролей и редкими DDoS‑атаками на страницу заказов.
Как сделать: включите блокировку неиспользуемых портов на уровне хостинга и ограничьте доступ к админке по IP. На практике это правило выглядит так: закрыть все входящие порты по умолчанию, открыть 80/443 для сайта, открыть SSH только для конкретных адресов владельца и сотрудников, а панель управления хостингом оставить доступной через VPN.
Развёртывание файрвола на арендованном виртуальном хостинге
Сценарий: салон красоты в Гомеле разместил сайт и базу записей на виртуальном хостинге, чтобы не тратить деньги на выделенный сервер. Нужно защитить данные клиентов и интеграцию с оплатой картой.
Как сделать: при выборе тарифа обратите внимание на опции сетевой изоляции и облачного файрвола у провайдера. На виртуальной машине используйте nftables или ufw для простых правил. Порядок действий:
- Определите список сервисов (веб, почта, SSH, VPN) и необходимые порты.
- Создайте правило «deny all» для входящих соединений, затем добавьте разрешения для нужных портов.
- Отключите root‑вход по SSH, настройте вход по ключам, смените стандартный порт SSH.
- Активируйте блокировку по гео‑IP для стран, с которыми у вас нет деловых связей.
Если нужен гайд по выбору хостинга с подходящими возможностями, полезна статья про как выбрать виртуальный хостинг для малого бизнеса в Беларуси.
Мониторинг и ведение логов для раннего обнаружения атак
Сценарий: интернет‑магазин из Барановичей заметил всплеск неудачных попыток логина на admin‑панель поздно ночью. Владелец хочет реагировать сразу и не ждать, пока станет хуже.
Как сделать: включите централизованный сбор логов и автоматические оповещения. Практические шаги:
- Отправляйте логи файрвола и веб‑сервера на отдельный лог‑сервер или в облачный лог‑сервис.
- Настройте простые правила оповещений: больше N неудачных логинов за M минут — уведомление в Telegram или на почту.
- Сравните пики трафика с периодами продаж и промо‑акций, чтобы отличать законную нагрузку от атак.
Для идеи по мониторингу полезна статья о мониторинге сети малого бизнеса на виртуальном хостинге.
Резервный доступ и работа с удалёнными сотрудниками
Сценарий: выездная бригада по установке оборудования из Мозыря подключается к CRM офиса в Минске через мобильный интернет. Стабильность и безопасность соединения важнее скорости.
Как сделать: для доступа сотрудников разверните VPN‑шлюз на хостинге и ограничьте доступ по сетевым правилам. Настройка на практике:
- Разверните OpenVPN или WireGuard на виртуальном хостинге и выдайте клиентские ключи каждому сотруднику.
- Ограничьте доступ через файрвол к ресурсам CRM только из сети VPN.
- Добавьте двухфакторную аутентификацию для учётных записей с доступом в админ‑панель.
Типичные ошибки при настройке виртуального файрвола
- Открыть много портов «на всякий случай» вместо точечной настройки.
- Полагаться только на настройки приложения и не контролировать сетевой уровень.
- Не сохранять и не анализировать логи — пропускают признаки атак.
- Настроить правила, которые блокируют легитимных клиентов (например, мобильных сотрудников).
- Игнорировать обновления ОС и ПО хостинга.
3 шага, которые можно сделать сегодня/на неделе:
- Проверить список открытых портов на текущем тарифе и закрыть лишние.
- Настроить SSH по ключам и сменить стандартный порт входа.
- Включить простой сбор логов и настроить оповещение о N неудачных логинах в течение M минут.