防火牆和系統安全防護和優化

2021-10-01 12:41:23 字數 3064 閱讀 9965

防火牆(firewall),也稱防護牆,是由check point創立者gil shwed於2023年發明並引入國際網際網路。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。

開啟防火牆

lokkit --enabled
1、檢視firewall服務狀態: systemctl status firewalld
關閉防火牆

2、停止firewall服務:systemctl stop firewalld
開啟防火牆

3、啟動firewall服務:systemctl start firewalld
重啟防火牆

重啟firewall服務:systemctl restart firewalld
1、是否支援交換和路由兩種工作模式。

2、是否支援對ftp、http、smtp等服務型別的訪問控制。

3、是否考慮防火牆的冗餘設計。

4、是否支援對日誌的統計分析功能,日誌是否可儲存在本地或網格資料庫中。

5、防火牆或受保護內網的非法攻擊,是否提供多種警告方式和多級別的告警。

基礎防火牆功能: 在內部網路、外部網路之間的邊界上構造一道保護屏障,保護內部網路免受非法使用者的侵入

入侵防禦: 監控網路或網路裝置的傳輸行為,並能夠即時的中斷、調整或隔離不正常或具有傷害性的網路傳輸行為

防病毒: 主動防範主機不受病毒入侵,避免***露、裝置程式被破壞等情況

應用識別過濾: 採用深度檢測技術,對各類網路應用、協議、埠等進行識別、分析和過濾,保障網路不受隱藏在應用中的安全風險威脅

上網行為管理: 精確管控內部網路上網行為,全面提公升頻寬價值,保障內網安全

web應用安全防護: 檢測和驗證web請求,確保其安全性與合法性,對非法的請求予以實時阻斷,依據owasp對各類web站點或web應用進行有效防護

網頁防篡改: 保護檔案、**資訊的完整性與正確性,事前防止網頁被篡改,事後實時恢復**資訊

抗拒絕服務攻擊防護: 阻斷攻擊者的拒絕服務攻擊,保障合法使用者對網路資源的訪問

從安全的角度出發,input,forward,output 三個都是drop最安全,但配置的時候會給你帶來非常多的不可預料的麻煩。

-p input drop


-p forward drop


-p output drop

嚴格按照目錄規範操作伺服器

遠端伺服器不允許關機

不要在伺服器訪問高峰執行高負載命令

遠端配置防火牆時,不要把自己踢出伺服器

禁用不必要的服務ntsysv


iptables 防火牆服務


network 網路服務


sshd ssh遠端管理服務--


->加密 telent--


->明文


syslog 系統日誌服務


crond 系統計畫任務服務


xinetd 系統超級守護程序服務


關閉多餘的控制台及禁止ctrl+alt+del


修改`/etc/inittab`檔案注釋掉多餘的控制台,保留2個就可以


防止資源浪費


禁止ctrl+alt+del快捷鍵


防止誤操作強制關機
埠安全

有一種情況,例如你的伺服器被植入了木馬,木馬將開啟乙個socket埠給遠端駭客接入進來,通常會啟動乙個類似telnet伺服器,怎樣防止未經允許的程式監聽乙個埠呢?

-a input -m state --state related,established -j accept  


-a input -p tcp -m tcp --dport 80


-j accept 


-a input -m state --state invalid,new -j drop
禁止ping

echo 1


>


/proc/sys/net/ipv4/icmp_echo_ignore_all
禁止源路由包(防止源欺騙)

攔截請求,假裝發出包與伺服器進行互動

echo 1


>


/proc/sys/net/ipv4/conf/*/accept_source_route
開啟syn cookie選項,禁止syn攻擊

syn包攻擊。tcp的三次握手。客戶端請求----》伺服器一直等待。浪費資源,多台容易崩潰

echo 1


>


/proc/sys/net/ipv4/tcp_syncookies
密碼合理並定期跟換密碼三原則:

複雜性、易記憶性、時效性
**1、安裝安全防護軟體,比如安全狗。


2、新系統一定要先打上補丁


3、開啟防水牆


4、安裝防毒軟體


5、防火牆禁ping


6、修改administrator,guest 使用者名稱


7、密碼用數字、大小寫字母、符號組成,並且密碼長度在14位以上。


8、guest使用者設定複雜密碼**


計算機配置-->windows設定-->安全設定-->本地策略-->使用者許可權分配 


關閉系統:只有administrators組、其它全部刪除。 


通過終端服務拒絕登陸:加入guests組、network service


通過終端服務允許登陸:加入administrators、remote desktop users組,其他全部刪除

防火牆 系統安全防護和優化

防火牆 firewall 也稱防護牆,是由check point創立者gil shwed於1993年發明並引入國際網際網路 us5606668 a 1993 12 15 它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。防火牆具有很...

防火牆和系統安全防護和優化

啟動 root izbp1f0xuq9rc815r5u5b0z systemctl start firewalld 關閉 root izbp1f0xuq9rc815r5u5b0z systemctl stop firewalld 檢視狀態 root izbp1f0xuq9rc815r5u5b0z s...

防火牆和系統安全防護和優化

1 firewalld的基本使用 啟動 systemctl start firewalld root instance rrkkmshy systemctl start firewalld關閉 root instance rrkkmshy systemctl stop firewalld 檢視狀態 ...