问下，有硬件防火墙的WEB服务器仅开放80端口，并且设置了禁止主机访问外网的策略，能不能防止拿站？

不知道你的防火墙是型号的。 血到教训告诉你。一个80端口足可以黑了你的站。SQL注入也是通过WEB的80端口进行的。他一旦上传了木马。了admin 权限。FTP的权限。就可以对你的服务器进行提权。。
所以要问你硬件防火墙。还有策略是怎么做的。
例如我公司用的netscreen 我用的VIP做的策略。。映射端口80 。同时的策略是禁止外网写入到服务器的。因为公司没有留言。BBS等互动的。所以可以这么做。 如果FTP。我会用到客户端进行。这样就没问题了。
我同学的CISCO 用了其他的策略。限定访问的数据和端口。

也许不是防火墙的问题，从症状上看很像是受到ARP攻击，建议用以下方法检测：
1换一台与管理者机器同一网段的其它计算机，尝试浏览和远程登陆服务器（如有服务器上绑定了管理IP记得修改，不过从你的描述中似乎不存在这个问题），若没有问题，证明原来使用的机器有问题（但不是IP规则的问题，因为重新获得IP后可以访问一阵子的），更新系统补丁，查杀病毒或干脆重装系统（不推荐最后一种）。若问题仍然存在，进入步骤2。
2尝试使用QQ、浏览其它网页，看是不是能正常访问，若是出现经常断网，重新获取IP后可以使用一段时间，但不久又会断网的现象，那么内网中肯定存在ARP攻击，如果条件允许的话，建议对所有机器进行安全检查和处理。若不存在这个问题，其它网络应用正常，仅仅是无法管理和访问服务器，请进入步骤3。
3到这一步，才可以基本判断出问题很可能出在服务器上，但从描述中换一个IP仍可访问的现象来看，应该不是规则问题，可能是防火墙设置了自动判断入侵并予以保护的功能（IDS、IPS），检查防火墙的设置，看有没有这类设置（一般服务器用的防火墙都有这类功能的），若有，暂时关掉这类功能，看问题是否仍然存在。若关掉这类功能问题就解决了，那么看来你的防火墙认为你的机器有攻击行为了，无风不起浪，检查一下到底是防火墙设置得太敏感还是你的机器的确受某些而已软件的影响攻击了服务器，比如狂ping服务器（ping flood）、SYN flood、arp攻击等等。
4若仍然没解决问题，请留言，我和你进一步联系以获取更多的信息。
总之，看了你的描述中，我认为问题肯定和防火墙有关（因为关掉防火墙就没有问题了），但不是防火墙的基本功能（访问规则设置）导致无法访问和管理（因为换一个IP就没问题了），所以我想很可能是防火墙入侵检测方面的功能在起作用，但我没有更多的信息，只能这样回答了。另外，我没有看出服务器和你的管理机器是否在同一个网段，我就暂时理解成是。

linux下要使用iptables限制只有指定的ip才能访问本机则需要先设置一个默认的规则
iptables有默认的规则，它可以适用于所有的访问
因为只有指定或特定的ip地址才能访问本机
所以可以将默认的规则设置为所有访问全部阻止（当然这里需要注意下，如果你要设置的机器是在远端，比如vps则需要注意在设置默认规则的同时要将与该服务器链接的ip添加进白名单，否则在设置完默认阻止后你也无法访问这台服务器，也无法再进行 *** 作了，我们可以使用分号;或者&&来在同一个命令行下来完成默认阻止和将自己的ip添加进白名单，假如你的ip地址为1234则可以这样输入iptables -P INPUT DROP;iptables -A INPUT -s 1234 -p tcp -j ACCEPT，或者也可以指定一个端口)
设置默认规则后则可以添加白名单了
比如允许2345访问则可以
iptables -A INPUT -s 2345 -p tcp -j ACCEPT
如果要限定的不是整个服务器而只是该服务器中的某个服务
比如web服务（一般端口在80，>你的描述有点混乱，我理解到的意思是这样的，你看对不对：
1、需求：web服务器由防火墙映射到公网地址222185223x上，现在想实现内网终端（A和B），可以通过访问222185223x这个地址打开网站。
2、分析：现在由于只做了一条NAT规则，也就是把web服务器映射到公网上。当内网终端访问公网地址的时候，防火墙把数据包的目的地址转化为web服务器的内网地址后，发给了服务器，服务器回包的时候，源地址写终端的内网地址，所以该数据包直接通过核心交换就给了客户端，客户端看到回包地址不是防火墙的公网地址，所以就丢掉了这个数据包。
3、解决：
在防火墙再做一条规则，凡是由内网终端网段去往访问web服务器地址（1921680x），都需要进行源地址转换，转换成防火墙任意一个接口地址即可，例如防火墙接华为S3900的那个接口地址即可。

在众多的企业级主流防火墙中，cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506，515，520，525，535。其中pix535是pix 500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的isp等服务提供商。但是pix特有的os *** 作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。
在配置pix防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：
�0�3 内部区域（内网）。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。
�0�3 外部区域（外网）。 外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。
�0�3 停火区（dmz）。 停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器，mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。
由于pix535在企业级别不具有普遍性，因此下面主要说明pix525在企业网络中的应用。
pix防火墙提供4种管理访问模式：
非特权模式。 pix防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>
特权模式。 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#
配置模式。 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 pix防火墙在开机或重启过程中，按住escape键或发送一个“break”字符，进入监视模式。这里可以更新 *** 作系统映象和口令恢复。显示为monitor>
配置pix防火墙有6个基本命令：nameif，interface，ip address，nat，global，route
这些命令在配置pix是必须的。以下是配置的基本步骤：
1 配置防火墙接口的名字，并指定安全级别（nameif）。
pix525(config)#nameif ethernet0 outside security0
pix525(config)#nameif ethernet1 inside security100
pix525(config)#nameif dmz security50
提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：
pix525(config)#nameif pix/intf3 security40 （安全级别任取）
2 配置以太口参数（interface）
pix525(config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型 ）
pix525(config)#interface ethernet1 100full（100full选项表示100mbit/s以太网全双工通信 ）
pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）
3 配置内外网卡的ip地址（ip address）
pix525(config)#ip address outside 611445142 255255255248
pix525(config)#ip address inside 19216801 2552552550
很明显，pix525防火墙在外网的ip地址是611445142，内网ip地址是19216801
4 指定要进行转换的内部地址（nat）
网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ipnat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat (if_name) nat_id local_ip [netmark]
其中（if_name）表示内网接口名字，例如inside nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0000表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1．pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网，用0可以代表0000
例2．pix525(config)#nat (inside) 1 1721650 25525500
表示只有1721650这个网段内的主机可以访问外网。
5 指定外部地址范围（global）
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中（if_name）表示外网接口名字，例如outside。nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1． pix525(config)#global (outside) 1 611445142-611445148
表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用611445142-611445148这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2． pix525(config)#global (outside) 1 611445142
表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用611445142这个单一ip地址。
例3 pix525(config)#no global (outside) 1 611445142
表示删除这个全局表项。
6 设置指向内网和外网的静态路由（route）
定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric]
其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1． pix525(config)#route outside 0 0 6114451168 1
表示一条指向边界路由器（ip地址6114451168）的缺省路由。
例2． pix525(config)#route inside 10110 2552552550 1721601 1
pix525(config)#route inside 10200 25525500 1721601 1
如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10110的静态路由，静态路由的下一条路由器ip地址是1721601
这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。
a 配置静态ip地址翻译（static）
如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口，安全级别较高。如inside external_if_name为外部网络接口，安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1． pix525(config)#static (inside, outside) 611445162 19216808
表示ip地址为19216808的主机，对于通过pix防火墙建立的每个会话，都被翻译成611445162这个全局地址，也可以理解成static命令创建了内部ip地址19216808和外部ip地址611445162之间的静态映射。
例2． pix525(config)#static (inside, outside) 19216802 10013
例3． pix525(config)#static (dmz, outside) 21148162 17216108
注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。
b 管道命令（conduit）
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。
conduit命令配置语法：
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。
port 指的是服务所作用的端口，例如的这台主机进行>