防火牆(firewall),也稱防護牆,是由check point創立者gil shwed於2023年發明並引入國際網際網路。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。
開啟防火牆
lokkit --enabled
1、檢視firewall服務狀態: systemctl status firewalld
關閉防火牆
2、停止firewall服務:systemctl stop firewalld
開啟防火牆
3、啟動firewall服務:systemctl start firewalld
重啟防火牆
重啟firewall服務:systemctl restart firewalld
1、是否支援交換和路由兩種工作模式。
2、是否支援對ftp、http、smtp等服務型別的訪問控制。
3、是否考慮防火牆的冗餘設計。
4、是否支援對日誌的統計分析功能,日誌是否可儲存在本地或網格資料庫中。
5、防火牆或受保護內網的非法攻擊,是否提供多種警告方式和多級別的告警。
基礎防火牆功能: 在內部網路、外部網路之間的邊界上構造一道保護屏障,保護內部網路免受非法使用者的侵入
入侵防禦: 監控網路或網路裝置的傳輸行為,並能夠即時的中斷、調整或隔離不正常或具有傷害性的網路傳輸行為
防病毒: 主動防範主機不受病毒入侵,避免***露、裝置程式被破壞等情況
應用識別過濾: 採用深度檢測技術,對各類網路應用、協議、埠等進行識別、分析和過濾,保障網路不受隱藏在應用中的安全風險威脅
上網行為管理: 精確管控內部網路上網行為,全面提公升頻寬價值,保障內網安全
web應用安全防護: 檢測和驗證web請求,確保其安全性與合法性,對非法的請求予以實時阻斷,依據owasp對各類web站點或web應用進行有效防護
網頁防篡改: 保護檔案、**資訊的完整性與正確性,事前防止網頁被篡改,事後實時恢復**資訊
抗拒絕服務攻擊防護: 阻斷攻擊者的拒絕服務攻擊,保障合法使用者對網路資源的訪問
從安全的角度出發,input,forward,output 三個都是drop最安全,但配置的時候會給你帶來非常多的不可預料的麻煩。
-p input drop
-p forward drop
-p output drop
嚴格按照目錄規範操作伺服器
遠端伺服器不允許關機
不要在伺服器訪問高峰執行高負載命令
遠端配置防火牆時,不要把自己踢出伺服器
禁用不必要的服務ntsysv
iptables 防火牆服務
network 網路服務
sshd ssh遠端管理服務--
->加密 telent--
->明文
syslog 系統日誌服務
crond 系統計畫任務服務
xinetd 系統超級守護程序服務
關閉多餘的控制台及禁止ctrl+alt+del
修改`/etc/inittab`檔案注釋掉多餘的控制台,保留2個就可以
防止資源浪費
禁止ctrl+alt+del快捷鍵
防止誤操作強制關機
埠安全
有一種情況,例如你的伺服器被植入了木馬,木馬將開啟乙個socket埠給遠端駭客接入進來,通常會啟動乙個類似telnet伺服器,怎樣防止未經允許的程式監聽乙個埠呢?
-a input -m state --state related,established -j accept
-a input -p tcp -m tcp --dport 80
-j accept
-a input -m state --state invalid,new -j drop
禁止ping
echo 1
>
/proc/sys/net/ipv4/icmp_echo_ignore_all
禁止源路由包(防止源欺騙)
攔截請求,假裝發出包與伺服器進行互動
echo 1
>
/proc/sys/net/ipv4/conf/*/accept_source_route
開啟syn cookie選項,禁止syn攻擊
syn包攻擊。tcp的三次握手。客戶端請求----》伺服器一直等待。浪費資源,多台容易崩潰
echo 1
>
/proc/sys/net/ipv4/tcp_syncookies
密碼合理並定期跟換密碼三原則:
複雜性、易記憶性、時效性
**1、安裝安全防護軟體,比如安全狗。
2、新系統一定要先打上補丁
3、開啟防水牆
4、安裝防毒軟體
5、防火牆禁ping
6、修改administrator,guest 使用者名稱
7、密碼用數字、大小寫字母、符號組成,並且密碼長度在14位以上。
8、guest使用者設定複雜密碼**
計算機配置-->windows設定-->安全設定-->本地策略-->使用者許可權分配
關閉系統:只有administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入guests組、network service
通過終端服務允許登陸:加入administrators、remote desktop users組,其他全部刪除
防火牆 系統安全防護和優化
防火牆 firewall 也稱防護牆,是由check point創立者gil shwed於1993年發明並引入國際網際網路 us5606668 a 1993 12 15 它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。防火牆具有很...
防火牆和系統安全防護和優化
啟動 root izbp1f0xuq9rc815r5u5b0z systemctl start firewalld 關閉 root izbp1f0xuq9rc815r5u5b0z systemctl stop firewalld 檢視狀態 root izbp1f0xuq9rc815r5u5b0z s...
防火牆和系統安全防護和優化
1 firewalld的基本使用 啟動 systemctl start firewalld root instance rrkkmshy systemctl start firewalld關閉 root instance rrkkmshy systemctl stop firewalld 檢視狀態 ...