在部署新的应用程序或服务时，安全始终是首要考虑的问题。互联网上到处都是恶意的参与者，他们探测应用程序的漏洞并嗅探开放的端口。像iptables这样的工具对于任何开发人员的工具箱都是必不可少的，但是它们的使用可能很复杂，尤其是在构建分布式服务时。添加一个新的液滴可能需要在所有基础设施。AtDigitalOcean，我们正致力于通过简化基础设施体验，使开发人员更容易构建应用程序并将其部署到云端。今天，我们很高兴能用云防火墙实现安全性，云防火墙是一种易于配置的服务，可以保护您的水滴。它是免费使用和设计的规模与你作为你成长。通过使用云防火墙，您将有一个中心位置来定义访问规则，并将其应用于您的所有液滴。我们在网络层上执行这些规则。未经授权的流量不会到达您的液滴，而且这种保护不会消耗您的任何资源液滴。安全默认情况下，当使用防火墙时，我们从最小权限原则开始，只有您明确定义的端口和IP才可以访问。任何不符合规则的包裹在到达你的液滴之前都会被丢弃。一个只允许来自任何来源的HTTP、SSH和ICMP连接的简单防火墙需要三个规则：如果有人尝试在任何其他端口（比如使用端口21的FTP）访问这个液滴，它们会收到超时，因为防火墙过滤掉了交通很方便为了进行配置，我们设计了易于配置的防火墙。您的源和目标规则可以通过名称、负载平衡器、IP范围，甚至可以使用标签。用于细粒度控制，您还可以对一个液滴应用多个防火墙。这允许您在不同的防火墙中为不同的关注点保留规则。例如，您可以创建一个名为webapp Firewall的防火墙，它只允许端口80上的HTTP，另一个名为admin Firewall，它只允许来自特定IP的SSH和ICMP。我们的服务将结合他们的规则并加以执行一起。超越在控制面板中，您可以使用doctl在命令行上管理防火墙，也可以使用restfulapi或Go和rubyapi客户机库自动管理防火墙。期待更多的集成很快出现，多亏了我们的惊人社区。工作在ScaleEven没有自动化的情况下，防火墙使保护具有大量资源的分布式应用程序变得更加容易。您可以利用标记对任意数量的液滴进行分组和组织，并使用它们来定义如何通过防火墙。用于例如，您可以创建一个名为db Firewall的防火墙，并且只允许来自所有标记为frontend的drops的入站连接，从而保护您的数据库免受未经授权的访问。如果您将此标签添加到更多液滴中，系统将自动识别这些液滴并将其列入白名单规则。获取开始不管你准备好开始创建你的第一个防火墙还是你只是想了解更多，请在我们的社区网站上查看这些教程，了解所有细节和一些最好的实践：如何创建您的第一个DigitalOcean Firewall简介DigitalOcean FirewallsHow组织DigitalOcean FirewallsHow我们迫不及待地想听听您的反馈。它有助于指导我们继续努力使您的基础架构更安全、更易于大规模管理。请在下面的评论中告诉我们您的想法，并关注今年晚些时候的主要网络安全改进。