一、iptables防火牆並不能阻止ddos***,建議在專案實施中採購硬體防火牆,置於整個系統之前,用於防ddos***和埠對映;如果對安全有特殊要求,可再加上應用層級的防火牆,比如天泰防火牆,其功能強大如此:①天泰web應用防火牆基於對資料報文頭部和載荷完整的檢測,對web應用客戶端輸入進行驗證,從而對各類已知的及新興的web應用威脅提供全方位的防護,如sql注入、跨站指令碼、蠕蟲、***掃瞄和***等;②天泰web應用防火牆提供對目前國內比較氾濫的ddos***的防護。針對web應用進行的頻寬和資源耗盡型ddos***,都可輕鬆應對。尤其針對應用層的ddos***,提供細粒度的防護,其它優點這裡不一一介紹了。
二、在專案實施中建議關閉linux伺服器的iptables防火牆或freebsd的ipfw,目的為:①更好的提高後端伺服器網路效能;②方便資料流在整個業務系統內部流通,安全方面工作由硬體防火牆來承擔。
三、我目前主要將iptables用於內部作nat防火牆,它的效能和方便管理性確實強悍,經迅雷測試可發現,公司內部的10m頻寬能被利用得一絲無餘;武漢地區比較常用的軟體路由器是海蜘蛛,這個其實也是iptables的二次開發;前二年替朋友網咖佈署網咖的路由器,我強烈推薦的是讓iptables作nat路由**,事實證明效果很好。
四、iptables的l是命令,而-v和-n只是作為選項,它們不能進行組合,如-lvn;如果要列出防火牆詳細規則,可採用iptables -nv -l;
五、如果是使用遠端來除錯iptables防火牆,最好是設定crontab作業是定時停止防火牆,以防自己被鎖定,5分鐘停止一次iptables即可,等整個指令碼完全穩定後再關閉此crontab作業。
六、如果使用預設禁止一切策略,即應立即使用回環介面lo(因為禁止一切包括了lo);附註:回環介面lo在linux系統中被用來提供本地、基於網路的服務的專用網路介面,不用把本地資料流通過網路介面驅動器傳送,而是採用作業系統通過回環介面傳送,採取的捷徑,大大提高了效能。
七、如果是電信或雙線機房託管的伺服器,在沒有配置前端硬體防火牆的情況下,linux主機一定要開啟iptables防火牆,windows2003主機開啟它自帶的系統防火牆,並禁ping。
八、如果項格**能承受的話,最前端的硬體防火牆應該也要作為雙機冗餘,防止單防火牆出問題會導致整個**crash,防火牆跟人一樣,總有頂不住壓力的時候;如果有雙機的話,**出問題的機率要小許多。
工作中的Linux防火牆心得
一 iptables防火牆並不能阻止ddos 建議在專案實施中採購硬體防火牆,置於整個系統之前,用於防ddos 和埠對映 如果對安全有特殊要求,可再加上應用層級的防火牆,比如天泰防火牆,其功能強大如此 天泰web應用防火牆基於對資料報文頭部和載荷完整的檢測,對web應用客戶端輸入進行驗證,從而對各類...
linux系統中的防火牆
防火牆作為公網和內網之間的保護屏障,在保障資料安全性方面起著至關重要的作用。相較於企業內網,外部的公網環境更加惡略,罪惡叢生。在公網和企業內網之間充當保護屏障的防火牆雖然有軟體和硬體之分,但主要功能都是依據策略 對穿越防火牆自身的流量進行過濾。防火牆策略可以基於流量的源目位址 埠號 協議 應用資訊來...
防火牆工作模式簡介
防火牆能夠工作在三種模式下 路由模式 透明模式 混合模式。如果防火牆以第三層對外連線 介面具有ip 位址 則認為防火牆工作在路由模式下 若防火牆通過第二層對外連線 介面無ip 位址 則防火牆工作在透明模式下 若防火牆同時具有工作在路由模式和透明模式的介面 某些介面具有ip 位址,某些介面無ip 位址...