如何配置linux下的防火墙？

配置linux下的防火墙的方法，可以通过以下步骤 *** 作来实现：

一、在Linux系统中安装Iptables防火墙

1、Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包：

二、关闭哪些防火墙端口

防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如，如果运行的是Web服务器，则可能需要打开以下端口：

网络：80和443

SSH：通常在端口22上运行

电子邮件：110(POP3)，143(IMAP)，993(IMAP SSL)，995(POP3 SSL)。

1、还原默认防火墙规则

为确保设置无误，需从一套新的规则开始，运行以下命令来清除防火墙中的规则：

2、屏蔽服务器攻击路由

可以运行下列标准命令来隔绝常见的攻击。

屏蔽syn-flood数据包：

屏蔽XMAS数据包：

阻止无效数据包：

3、打开所需端口

根据以上命令可屏蔽常见的攻击方式，需要打开所需端口。下列例子，供参考：

允许SSH访问：

打开LOCALHOST访问权限：

允许网络流量：

允许SMTP流量：

三、测试防火墙配置

运行下列命令保存配置并重新启动防火墙：

防火墙的作用是：
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

在今天互联网普及的时代，网络几乎已离不开每个人的生活。网络发达迅速，然而在上网时我们的电脑却可能不安全，也许你不知道，在你用QQ或者MSN聊天时，别人可能已侵入你的电脑。古话说，防人之心不可无，这里就给大家介绍国内最优秀的个人网络安全防护工具——天网防火墙个人版。天网防火墙可以有效地控制个人用户电脑的信息在互联网上的收发。用户自己可以通过设定一些参数，从而达到控制本机与互联网之间的信息交流，阻止和杜绝一些恶性信息对本机的攻击，比如ICMP flood攻击、聊天室炸d、木马信息等等，现在最新的版本是261。下面给大家说说天网防火墙的应用，希望能帮助广大的计算机初学者。
由于天网防火墙有正式版（收费的版本，服务好，功能强）和试用版（免费，用的人很多，高级功能受一些限制）之分，本人支持正版软件，所以这里就以正式版为例给大家介绍，试用版的界面和 *** 作基本都一样，使用试用版的可以参考类似的 *** 作。
安装完后要重起，重起后打开天网防火墙就能起到作用了。默认情况下，它的作用就很强大了。但有时它苛刻的IP规则也带来了很多不便，后面再说。所以，如果没什么特殊要求的，就设置为默认就OK了，安全级别为中就好。
一、普通应用（默认情况）
下面来介绍天网的一些简单设置，如下图一是系统设置界面，大家可以参照来设置：图一
此主题相关如下：
下面是IP规则，一般默认就可以了，其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的，因为我们再介绍，这里是默认情况就不多说了。图二
此主题相关如下：
下面是各个程序使用及监听端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。图三
此主题相关如下：
再看下图就是日志，上面记录了你程序访问网络的记录，局域网，和网上被IP扫描你端口的情况，供参考以便采取相应对策，由于是默认就不多说了，日志上基本都是拒绝的 *** 作。图四
此主题相关如下：
以上是天网在默认下的一些情况，只要你没什么特殊要求，如开放某些端口或 屏蔽某些端口，或某些IP *** 作等等，默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法，大家可以依次类推，完成你想要的相关 *** 作。
二、防火墙开放端口应用
如果想开放端口就得新建新的IP规则，所以在说开放端口前，我们来说说怎么新建一个新的IP规则，如下图五，在自定义IP规则里双击进行新规则设置。图五
此主题相关如下：
点击增加规则后就会出现以下图六所示界面，我们把它分成四部分。图六
此主题相关如下：
1）图六1是新建IP规则的说明部分，你可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以。还有数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。
2）就是对方IP地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。
3）IP规则使用的各种协议，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议，QQ使用的是UDP协议等。
4）比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录，就看你自己想怎么样了，具体看后面的实例。
如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶，这就完成了新的IP规则的建立，并立即发挥作用。
三、打开端口实例
在介绍完新IP规则是怎么建立后，我们就开始举例说明，毕竟例子是最好的说明。大家也许都知道BT使用的端口为6881－6889端口这九个端口，而防火墙的默认设置是不允许访问这些端口的，它只允许BT软件访问网络，所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了，但机器是不是就不安全了？所以下面以打开6881－6889端口举个实例。
1）在图五双击后建立一个新的IP规则后在出现的下图七里设置，由于BT使用的是TCP协议，所以就按下图七设置就OK了，点击确定完成新规则的建立，我命名为BT。图七
此主题相关如下：
设置新规则后，把规则上移到该协议组的置顶，并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。图八
此主题相关如下：
四、应用自定义规则防止常见病毒
上面介绍的是开放端口的应用，大体上都能类推，如其他程序要用到某些端口，而防火墙没有开放这些端口时，就可以自己设置，相信大家能搞定。下面来介绍一些实例的应用，就是封端口，让某些病毒无法入侵。
1、防范冲击波
冲击波，这病毒大家熟悉吧？？它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。
如何防范，就是封主以上端口，首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用（就是打勾）就已经禁止了135和139两个端口。
下边是禁止4444端口的图九
此主题相关如下：
下面是禁止69和445端口的图，上图为69下图为445
此主题相关如下：
此主题相关如下：
建立完后就保存，记得保存，很所人就是不记得保存。保存完后就可以防范冲击波了，补丁都不用打，爽吧？？
2、防范冰河木马
冰河，熟悉了吧？也是比较狠的病毒哦，它使用的是UDP协议，默认端口为7626，只要在防火墙里把它给封了，看它还能怎么样？具体见下图
此主题相关如下：
如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置，其实设置都差不多，大家可以参照，可以大大防范病毒和木马的攻击！
五、下面介绍怎么打开WEB和FTP服务
相信不少朋友都使用了FTP服务器软件和WEB服务器，放火墙不仅限制本机访问外部的服务器，也限制外部计算机访问本机。
所以我们为了WEB和FTP服务器能正常使用就得设置防火墙，首先在图八把“禁止所有人连接”前的勾去掉。
以下是WEB和FTP的IP规则供大家参考上图为WEB，下图为FTP。
此主题相关如下：
此主题相关如下：
六、常见日志的分析（仅供参考）
使用防火墙关键是会看日志，看懂日志对分析问题是非常关键的，大家看下图，就是日志记录，上面记录了不符合规则的数据包被拦截的情况，通过分析日志就能知道自己受到什么攻击。下面我们就来说说日志代表的意思，当然很多我也是模模糊糊的，希望大虾能给些更详细的解释。
此主题相关如下：
看上图，一般日志分为三行，第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母，他们的简单含义如下：
ACK：确认标志
提示远端系统已经成功接收所有数据
SYN：同步标志
该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号
FIN：结束标志
带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。
RST：复位标志，具体作用未知
其他不知道了，呵呵
第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
下面举些常见典型例子来讲讲：
记录1：[22：30：56] 202、121、0、112 尝试用PING来探测本机
TCP标志： S
该 *** 作被拒绝
该记录显示了在22：30：56时，从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息，但被拒绝了。
人们用PING命令来确定一个合法IP是否存在，当别人用PING命令来探测你的机器时，如果你的电脑安装了TCP/IP协议，就回返回一个回音ICMP包，如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置，你的电脑就不会返回给对方这种ICMP包，这样别人就无法用PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的，，但如果在日志里显示有N个来自同一IP地址的记录，那就有鬼了，很有可能是别人用黑客工具探测你主机信息，他想干什么？谁知道？肯定是不怀好意的。
记录2：[5：29：11] 61、114、155、11试图连接本机的>

远程配置防火墙时不要把自己踢出服务器

防火墙是指将内网和外网分开，并依照数据包的 IP 地址、端口号和数据包中的数据来判断是否允许数据包通过的网络设备。
防火墙可以是硬件防火墙设备，也可以是服务器上安装的防火墙软件。
简单来讲，防火墙就是根据数据包自身的参数来判断是否允许数据包通过的网络设备。我们的服务器要想在公网中安全地使用，就需要使用防火墙过滤有害的数据包。
但在配置防火墙时，如果管理员对防火墙不是很熟悉，就有可能把自己的正常访问数据包和有害数据包全部过滤掉，导致自己也无法正常登录服务器。比如说，防火墙关闭了远程连接的 SSH 服务的端口。
防火墙配置完全是靠手工命令完成的，配置规则和配置命令相对也比较复杂，万一设置的时候心不在焉，悲剧就发生了。如何避免这种趟尬的情况发生呢？
最好的方法当然是在服务器本地配置防火墙，这样就算不小视自己的远程登录给过滤了，还可以通过本机登录来进行恢复。如果服务器已经在远程登录了，要配置防火墙，那么最好在本地测试完善后再进行上传，这样会把发生故障的概率降到最低。
虽然在本地测试好了，但是传到远程服务器上时仍有可能发生问题。于是笔者想到一个笨办法，如果需要远程配置防火墙，那么先写一个系统定时任务，让它每 5 分钟清空一下防火墙规则，就算写错了也还有反悔的机会，等测试没有问题了再删除这个系统定时任务。
总之，大家可以使用各种方法，只要留意不要在配置防火墙时把自己踢出服务器就好了。

防火墙是目前使用最为广泛的网络安全产品之一，用户在选购时应该注意以下几点：\x0d\一、防火墙自身的安全性\x0d\防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于 *** 作系统，只有自身具有完整信任关系的 *** 作系统才可以谈论系统的安全性。而应用系统的安全是以 *** 作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。\x0d\二、系统的稳定性\x0d\目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断：\x0d\1．从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。\x0d\3．自己试用。在自己的网络上进行一段时间的试用（一个月左右）。\x0d\4．厂商开发研制的历史。一般来说，如果没有两年以上的开发经历，很难保证产品的稳定性。\x0d\5．厂商实力，如资金、技术开发人员、市场销售人员和技术支持人员多少等等。\x0d\三、是否高效\x0d\高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高。一般来说，防火墙加载上百条规则，其性能下降不应超过5％（指包过滤防火墙）。\x0d\四、是否可靠\x0d\可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件，这要求有较高的生产标准和设计冗余度。\x0d\五、是否功能灵活\x0d\对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。例如对普通用户，只要对IP地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。\x0d\六、是否配置方便\x0d\在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。\x0d\七、是否管理简便\x0d\网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。\x0d\八、是否可以抵抗拒绝服务攻击\x0d\在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。\x0d\九、是否可以针对用户身份过滤\x0d\防火墙过滤报文，需要一个针对用户身份而不是IP地址进行过滤的办法。目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在网络上泄露,这样，防火墙就可以确认登录上来的用户确实和他所声称的一致。\x0d\十、是否可扩展、可升级\x0d\用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。

此FTP服务器的防火墙通用设置规则适用于Windows(包括服务器版和桌面版)、Linux服务器以及可能的其他 *** 作系统。
在配置好FTP服务器后将发起FTP服务的程序(如Windows的svchostexe或FileZilla
serverexe)而不仅仅是端口允许通过防火墙，程序(此处特指Windows的svchostexe)不用带参数。
svchostexe这个例外，必须通过控制面板中的
“
允许程序通过
Windows
防火墙通信”
，使得
“Windows
服务主进程”
(
svchostexe
，C:WindowsSystem32svchostexe
)允许通过防火墙才可以。
FileZilla也是如此，但无需仅使用控制面板中的
“
允许程序通过
Windows
防火墙通信”，而也可以使用“高级安全Windows防火墙”进行设置
。

---