2025年12月9日起,Netcup 宣布了一项针对其 vServer 产品线的重要安全更新:即日起,所有 Netcup vServer(包括 VPS x86、VPS ARM、Root Server 及 vGPU Server)均在服务器控制面板(SCP)中新增了免费的防火墙功能。
这项新功能允许用户在网络层面上精细控制服务器的入站和出站流量,为服务器构筑了一道位于操作系统之前的额外安全防线。
新防火墙到底能做什么?
这款全新的 有状态防火墙(Stateful Firewall)允许用户对流量进行细粒度的管理。通过 SCP 面板或 API,用户可以自定义规则,专门允许或阻止特定的协议、端口或 IP 段。
其核心优势在于流量过滤发生在网络层,即请求到达你的服务器操作系统之前就已经被处理。这意味着恶意流量不会消耗服务器的 CPU 或带宽资源。
主要特性与优势
- 完全免费: 作为额外的安全层,无需支付任何额外费用。
- 网络层过滤: 在请求触达服务器之前直接拦截,减轻服务器负载。
- 双向控制: 支持基于规则的入站(Incoming)和出站(Outgoing)流量控制。
- 默认开启: 对于新购的 Root Server 和 VPS,该功能默认启用;现有实例可在 SCP 中手动激活。
- 灵活管理: 支持通过服务器控制面板(SCP)可视化管理,也支持通过 Netcup API 实现自动化运维。
适用范围与限制说明
1. 硬件版本限制
该防火墙功能适用于所有 Netcup 服务器产品。
2. 激活方式
- 新订单: 默认已激活。
- 存量服务器(2025年12月9日之前购买): 需要用户在 SCP 面板中手动点击激活一次。
3. 规则限制与默认策略
- 每个服务器的每个公共网络接口最多可定义 500 条活动规则。
- 默认允许策略: 如果未分配任何策略(Policy),防火墙将默认允许所有流量通过(Allow All)。
- 关于 25 端口(SMTP): 为了防止滥发邮件,系统默认预设了阻止 25 端口出站流量的规则。
- 提示:如果你需要搭建邮件服务器,可以在激活防火墙后手动移除此规则。但在操作前,请确保你的邮件配置正确且安全,以免被第三方列入黑名单。
如何开启和使用?
- 登录 netcup Server Control Panel(SCP)
- 进入对应服务器 → 「Firewall」菜单
- 首次使用需要点一下「激活」
- 创建策略(Policy)→ 添加规则 → 绑定到服务器 → 立即生效
也完全支持通过 netcup 官方 API 实现自动化管理,适合有大量服务器的用户。
为什么仍需要本地防火墙?
Netcup 官方明确指出,虽然网络层防火墙能显著减少攻击面(Attack Surface),提供极佳的上游保护(例如防止意外暴露的公共服务),但它不能完全替代服务器内部的防火墙。
最佳安全实践建议:
即使启用了 Netcup 的 SCP 防火墙,我们仍强烈建议在服务器操作系统内部配置本地防火墙解决方案(如 iptables、nftables、ufw 或 firewalld)。这种“纵深防御”策略能提供最周全的保护。此外,请务必保持系统更新,并使用 SSH 密钥/双因素认证(2FA)来保护服务器访问。
常见问题解答(FAQ)
Q:我现有的老服务器能用吗?
A:只要是 Generation 12 及以后的机型(目前几乎所有在售产品都属于 G12)都支持,默认自动开启。之前购买的机型需要手动激活。
Q:我可以彻底关闭这个防火墙吗?
A:防火墙本身不能直接“停用”,但可以通过移除所有策略来实现“允许所有流量”的效果(相当于直连)。若需恢复保护,重新添加规则即可。
Q:既然有了这个,我还需要在 Linux 里装 ufw/iptables 吗?
A: 强烈建议保留。 SCP 防火墙是网络层的基础保护,系统内的防火墙是最后一道防线,两者互补。
Q:有没有规则数量限制?
A:每台服务器每个公网接口最多 500 条活跃规则(含默认规则),对绝大多数用户来说完全够用。
总结
netcup 这次直接免费送出一项同类厂商通常要额外收费的「网络级防火墙」,性价比直接拉满。对于个人开发者、中小型企业、甚至需要合规审计的用户来说,这都是一项非常实用的安全增强。
强烈建议所有 netcup vServer 用户立即登录 SCP 开启并配置规则,0 成本提升安全等级,何乐而不为?
消息来源:Out new: Firewall for netcup vServer – additional security layer at no extra cost
