linx服务器中,配置防火墙时,需要注意什么问题？

远程配置防火墙时不要把自己踢出服务器

防火墙是指将内网和外网分开，并依照数据包的 IP 地址、端口号和数据包中的数据来判断是否允许数据包通过的网络设备。
防火墙可以是硬件防火墙设备，也可以是服务器上安装的防火墙软件。
简单来讲，防火墙就是根据数据包自身的参数来判断是否允许数据包通过的网络设备。我们的服务器要想在公网中安全地使用，就需要使用防火墙过滤有害的数据包。
但在配置防火墙时，如果管理员对防火墙不是很熟悉，就有可能把自己的正常访问数据包和有害数据包全部过滤掉，导致自己也无法正常登录服务器。比如说，防火墙关闭了远程连接的 SSH 服务的端口。
防火墙配置完全是靠手工命令完成的，配置规则和配置命令相对也比较复杂，万一设置的时候心不在焉，悲剧就发生了。如何避免这种趟尬的情况发生呢？
最好的方法当然是在服务器本地配置防火墙，这样就算不小视自己的远程登录给过滤了，还可以通过本机登录来进行恢复。如果服务器已经在远程登录了，要配置防火墙，那么最好在本地测试完善后再进行上传，这样会把发生故障的概率降到最低。
虽然在本地测试好了，但是传到远程服务器上时仍有可能发生问题。于是笔者想到一个笨办法，如果需要远程配置防火墙，那么先写一个系统定时任务，让它每 5 分钟清空一下防火墙规则，就算写错了也还有反悔的机会，等测试没有问题了再删除这个系统定时任务。
总之，大家可以使用各种方法，只要留意不要在配置防火墙时把自己踢出服务器就好了。

1、首先，需要在防火墙上开启虚拟化授权功能，以便让防火墙上的服务器能够接收客户机的虚拟化授权请求。具体步骤如下：
a) 登录防火墙，打开“服务”菜单，选择“虚拟化授权”，然后在“授权服务器”中选择“双机虚拟化”；
b) 在“主机名称”中输入双机虚拟化主机的主机名；
c) 在“授权端口”中输入双机虚拟化授权服务器的端口号；
d) 在“授权验证”中输入双机虚拟化授权服务器的验证密码；
e) 在“令牌”中输入双机虚拟化授权令牌的序列号；
f) 点击“应用”按钮，保存设置；
g) 重启防火墙，使配置生效。
2、接下来，需要在客户机上开启虚拟化授权功能，以便让客户机能够向防火墙发送虚拟化授权请求。具体步骤如下：
a) 登录客户机，打开“服务”菜单，选择“虚拟化授权”，然后在“授权服务器”中选择“双机虚拟化”；
b) 在“主机名称”中输入双机虚拟化主机的主机名；
c) 在“授权端口”中输入双机虚拟化授权服务器的端口号；
d) 在“授权验证”中输入双机虚拟化授权服务器的验证密码；
e) 点击“应用”按钮，保存设置；
f) 重启客户机，使配置生效。
3、最后，需要在防火墙和客户机之间建立双向通信，以便双机虚拟化授权功能可以正常工作。具体步骤如下：
a) 登录防火墙，在“网络”菜单中，添加客户机的IP地址，并且勾选“允许双向通信”；
b) 登录客户机，在“网络”菜单中，添加防火墙的IP地址，并且勾选“允许双向通信”；
c) 重启防火墙和客户机，使配置生效；
d) 将双机虚拟化授权令牌插入防火墙上的USB端口，用以激活虚拟化授权功能。

1、服务器初始安全防护

安装服务器时，要选择绿色安全版的防护软件，以防有被入侵的可能性。对网站提供服务的服务器，软件防火墙的安全设置最高，防火墙只要开放服务器端口，其他的一律都关闭，你要访问网站时防火墙会提示您是否允许访问，在根据实际情况添加允许访问列表。这样至少给系统多一份安全。

2、修改服务器远程端口。

因为有不少不法分子经常扫描公网IP端口，如果使用默认的3389或者Linux的22端口，相对来说是不安全的，建议修改掉默认远程端口。

3、设置复杂密码。

一但服务器IP被扫描出来默认端口，非法分子就会对服务器进行暴力破解，利用第三方字典生成的密码来尝试破解服务器密码，如果您的密码足够复杂，非法分子就需要大量的时间来进行密码尝试，也许在密码未破解完成，服务器就已经进入保护模式，不允许登陆。

4、修补已知的漏洞

如果网站出现漏洞时不及时处理，网站就会出现一系列的安全隐患，这使得服务器很容易受到病毒入侵，导致网络瘫痪，所以，平时要养成良好的习惯，时刻关注是否有新的需修补的漏洞。

5、多服务器保护

一个网站可以有多个服务器，网站被攻击时，那么我们就可以选择不一样的方式进行防范，针对不同的服务器，我们应该设置不同的管理，这样即使一个服务器被攻陷，其他的服务还可以正常使用。

6、防火墙技术

现在防火墙发展已经很成熟了，防火墙可以选择安全性检验强的，检验的时间会较长，运行的过程会有很大负担。如果选择防护性低的，那么检验时间会比较短。我们在选择防护墙时，要根据网络服务器自身的特点选择合适的防火墙技术。

7、定时为数据进行备份。

定时为数据做好备份，即使服务器被破解，数据被破坏，或者系统出现故障崩溃，你只需要进行重装系统，还原数据即可，不用担心数据彻底丢失或损坏。

做好网站服务器的安全维护是一项非常重要的工作，只有做好了服务器安全工作，才能保证网站可以稳定运营。要想做好网站服务器安全维护，还要学习更多的维护技巧。

边界防火墙的配置:由于网络边界处已经配备的防火墙可能不支持TOPSEC联动协议，因此将此防火墙更换掉用于其他网络部分，根据网络具体流量情况，采用型号为NGFW4000，支持TOPSEC联动协议，标准配置三接口的防火墙，其最大并发连接数将近60万个，其中两个接口分别接外网和内网两个网段，第三个口可以作为预留。

内网保护服务器群防火墙的配置:资源信息服务器群是整个网络数据保护的关键，因此必须在其级联的P33交换机与核心交换机P550R处配备。 台能够支持TOPSEC联动协议的、高性能天融信网络卫土防火墙4000系统。用于对内部服务器其最大并发连接数达到60万个，一个接口接核心交换机，一个接口接级联交换机，另一个接口作为预留接口，从而实现对内部服务器群的访问控制保护。

能问一下,你说的PING通时,你所用的网络是什么吗如果你用的是当地的网通的话,那你PING电信的机器当然就丢包了,但如果你的电脑也是电信的,那就不正常了!其实PING不通有很多原因的,硬件防火墙对PING没有什么阻碍的,在2003的系统里,可以把PING禁掉的,别人PING时,就是PING不通,这样一来,黑客们有的就会认为,这个IP地址什么都没有!就不会再打什么歪主意了,呵呵!
如果外网正常访问没问题就行了!不用想太多了!

此FTP服务器的防火墙通用设置规则适用于Windows(包括服务器版和桌面版)、Linux服务器以及可能的其他 *** 作系统。
在配置好FTP服务器后将发起FTP服务的程序(如Windows的svchostexe或FileZilla
serverexe)而不仅仅是端口允许通过防火墙，程序(此处特指Windows的svchostexe)不用带参数。
svchostexe这个例外，必须通过控制面板中的
“
允许程序通过
Windows
防火墙通信”
，使得
“Windows
服务主进程”
(
svchostexe
，C:WindowsSystem32svchostexe
)允许通过防火墙才可以。
FileZilla也是如此，但无需仅使用控制面板中的
“
允许程序通过
Windows
防火墙通信”，而也可以使用“高级安全Windows防火墙”进行设置
。

---