一、服务器安全策略
二、linux防火墙
(1)一个封包进入网络主机的顺序为:防火墙----selinux-----端口-----服务
(2)防火墙是封包过滤的机制,即通过netfilter机制主要对数据包表头分析,对端口、IP、特殊标识封包(如带有SYN的主动联机)、mac地址进行检测,来决定是否放行;因此可知,防火墙不可抵御病毒或者木马,因为特定的端口(比如80端口,木马会经常探测这个端口)是必须要开放的;此外,对lan的防御也不足,因为默认是被信任的;
(3)符合(1)xinetd管理的服务(2)支持libwarp.so函式库的服务,其支持/etc/hosts.allow和/etc/hosts.deny规则,规则的写入用“服务名:IP网段”的格式,其中ip网段必须以掩码的方式写入,例如192.168.1.1/255.255.255.0;规则的执行是先检测allow,再检测deny,都没有,则放行;
(4)防火墙的规则的顺序很重要,第一条规则匹配,则放行,不匹配,则检验下一条规则,都不匹配,则执行预设动作(即policy),因此规则的顺序绝对要注意,错误了就等于没用了;比如:发现 IP 来源为 192.168.100.100 老是恶意的尝试入侵你的系统,所以你想要将该 IP 拒绝往来,最后,所有的非 WWW 的封包都给他丢弃,就这三个规则来说,你要如何设定防火墙检验顺序呢?
1. Rule 1 先抵挡 192.168.100.100 ;
2. Rule 2 再让要求 WWW 服务的封包通过;
3. Rule 3 将所有的封包丢弃。
这样的排列顺序就能符合你的需求,不过,若顺序错了,则就起不到作用;
(5)iptables预设的有三张表table,每个table又有多个链,比较常用的链为filter(过滤器)和nat(地址转换),其中filter有INPUT、OUTPUT、FORWARD三个链,nat有PREROUTING(在进行路由判断之前所要进行的规则,即DNAT/REDIRECT)、POSTROUTING(在进行路由判断之后所要进行的规则,即SNAT/MASQU
最低0.47元/天 解锁文章
扫一扫
3781
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
