gateway-list 意思是:指定网关。
华为防火墙配置命令:
建立DHCP地址池0[Quidway] dhcp server ip-pool 0;
配置DHCP网段 [Quidway-dhcp0] network 19216880 mask 2552552550 ;
配置DNS序列 [Quidway-dhcp0] dns-list ip-address1 [ ip-address2 ip-address8 ];
配置默认网关序列 [Quidway-dhcp0] gateway-list ip-address1 [ ip-address2 ip-address8 ];
设置DHCP租用时间为1天2小时3分钟[Quidway-dhcp0] expired 1 2 3。
扩展资料:
华为防火墙的双机热备包含以下两种模式:
热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及server-map表,当目前工作的防火墙宕机以后,备份防火墙接替转发数据的工作。
负载均衡模式:同一时间内,多台防火墙同时转发数据,并且互为备份,每个防火墙既是主设备,也是备用设备。防火墙之间同步会话表及server-map表。
在防火墙安装配置之前,必须对防火墙服务器的网络连接状况进行检查。只有在服务器的网络连接状况正常的情况下,防火墙的安装配置才会比较顺利。如果在安装防火墙时没有进行这项工作,那么在安装了防火墙后一旦出现网络连接方面的问题,将很难确定问题的根源在哪里。因此必须事先确认网关服务器的工作状态。为此应该检查以下情况。1路由检查
(1)分别使用ping命令和telnet命令从内部网络的一台主机经由网关与外网路由器进行联系。
(2)从内部网络的一台主机经由网关向广域网主机发送telnet命令。
(3)从广域网主机向内部网络的主机发送telnet命令。
如果上述的任何一个测试没有成功,则必须查明原因后再进行下一步工作。
2DNS服务
确认网络DNS服务能否正常工作,如果有问题必须排除。
3IP地址
确认网关服务器上所有网卡的IP地址配置情况,由于安装的是单网关产品,还需要知道外网卡的名称。配置防火墙的安全策略需要使用这些信息。
接着,明确网络安全需求。配置防火墙安全策略之前,必须根据网络安全需求,事先定义好网络对象。然后就可以制定和定义防火墙安全策略规则。设置安全策略规则应注意。
(1)安全规则的级别按顺序的先后分配,先定义的规则级别高,后定义的规则级别低,当两个规则有冲突时,以满足先定义的规则为准。
(2)为了防火墙及网络的安全,通常将第1条规则定义成任何用户或网络对象不能访问防火墙,将最后一条定义成任何人不能以任何形式访问网络对象。
(3)管理员可以随时修改网络对象及规则,但是修改后的结果只有进行安装才能起作用。关闭防火墙命令:systemctl stop firewalldservice
开启防火墙:systemctl start firewalldservice
关闭开机自启动:systemctl disable firewalldservice
开启开机启动:systemctl enable firewalldservice
1 永久性生效
开启:chkconfig iptables on
关闭:chkconfig iptables off
2 即时生效,重启后失效
开启:service iptables start
关闭:service iptables stop硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
一般来说,硬件防火墙的例行检查主要针对以下内容:
1硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3硬件防火墙的CPU负载
和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
4硬件防火墙系统的精灵程序
每台防火墙在正常运行的情况下,都有一组精灵程序(Daemon),比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行,如果发现某些精灵程序没有运行,则需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。
5系统文件
关键的系统文件的改变不外乎三种情况:管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改;管理人员偶尔对系统文件进行的修改;攻击者对文件的修改。
经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。
6异常日志
硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大,所以,检查异常日志通常应该是一个自动进行的过程。当然,什么样的事件是异常事件,得由管理员来确定,只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。
上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。一般会遇到以下N种情况,你看有没有你的那种:
调制解调器不工作。
原因: 调制解调器不兼容。
解决方案: 如果有另一台计算机可以访问 Internet,那么请查看兼容调制解调器的列表。要查找由 Windows *** 作系统支持的硬件,请访问 Microsoft 网站上的 Windows 目录。
原因: 调制解调器没有正确连接或已关闭。
解决方案: 验证调制解调器是否适当地连接到了计算机上的正确端口。如果调制解调器是外置的,那么请验证电源是否已打开。
无法连接到 Internet 服务提供商 (ISP)。
原因: ISP 服务器没有运行。
解决方案: 询问 ISP 以验证远程访问服务器是否正在运行。
原因: 没有有效的用户帐户,或者没有远程访问权限。
解决方案: 询问 ISP 是否已建立您的用户帐户以及您是否具有远程访问权限。
原因: 拨打的号码不对,或者拨打了正确的号码但却忘记拨打外线访问号码,例如 9。
解决方案: 验证所拨的号码是否正确。
原因: 调制解调器无法与服务器的调制解调器协商。
解决方案: 尝试使用与服务器使用的类型相同的调制解调器。
原因: 调制解调器电缆有故障。
解决方案: 不要使用大多数鼠标硬件所带的 9 到 25 针转换器,因为其中有一些不能传输调制解调器信号。为安全起见,应该使用专用的转换器。
原因: 电话线(例如,在旅馆的房间内)不适应调制解调器的速度。
解决方案: 选择较低的速率 (bps)(或者向旅馆经理申请一条直拨线)。
另请参阅: 更改调制解调器端口的最大速度。
原因: 尝试使用的线路是数字的。
解决方案: 大多数的调制解调器只能使用模拟电话线。请验证是否安装了模拟电话线,或者如果安装了数字电话线,请验证服务器和客户端是否具备数字调制解调器。
尝试连接时,收到 ISP 服务器没有响应的消息。
原因:
速率较高时,调制解调器与服务器的调制解调器不兼容。
电话线路上存在许多干扰,这会阻止调制解调器以较高的 bps 速率进行连接。
在客户端和服务器之间有某种切换设备,会阻止两个调制解调器以较高的 bps 速率协商。
解决方案: 将调制解调器调到较低的速率 (bps)。
另请参阅: 更改调制解调器端口的最大速度。
原因: ISP 服务器没有运行。
解决方案: 询问您的 ISP 以验证服务器是否在运行。
调制解调器总是以比指定速率 (bps) 低的速率连接。
原因: 调制解调器和电话线路运行不正常。电话线上过多的干扰会导致会话中断。
解决方案: 您可以使用调制解调器诊断程序来确认调制解调器是否 *** 作正常。
原因: 线路质量不够好。
解决方案: 询问电信公司以验证线路的质量。
原因: 正在拨打的线路影响速度。
解决方案: 如果可以使用多个号码连接到 ISP,那么请尝试其他号码,看速度是否有所提高。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
网络上与 ISP 的会话经常断开。
原因: 呼叫等待在干扰您的连接。
解决方案: 验证电话是否有呼叫等待功能。如果有,请禁用呼叫等待并尝试再次呼叫。
原因: 由于不活动,ISP 断开了与您的连接。
解决方案: 请尝试再次呼叫。
原因: 有人接听电话。拿起电话时,连接将自动断开。
解决方案: 请尝试再次呼叫。
原因: 调制解调器电缆被断开。
解决方案: 验证调制解调器电缆连接正确。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
原因: 因为 ISP 更改了服务器上的设置,所以您需要更改自己的调制解调器设置。
解决方案: 请与 ISP 系统管理员联系以验证调制解调器的设置。
连接异常断开。
原因: ISP 服务器没有运行。
解决方案: 询问 ISP 系统管理员以验证服务器是否正在运行。
原因:
调制解调器无法与 ISP 服务器的调制解调器正确协商。
计算机的串行端口无法跟上您选择的速度。
解决方案: 请尝试用较低的初始端口速度进行连接。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
尝试连接时接到硬件错误。
原因: 调制解调器已关闭。
解决方案: 验证调制解调器是否已经打开。如果调制解调器被关闭,请将其打开并重新拨号。
原因: 调制解调器工作不正常。
解决方案: 启用调制解调器日志记录来测试连接。
原因: 电缆不兼容。
解决方案: 如果您的调制解调器是通过“终端”而不是“网络连接”进行通讯,那么连接调制解调器与计算机的电缆可能不兼容。您需要安装兼容的电缆。
串行端口之间的冲突导致连接问题。
原因: 串行端口冲突。
解决方案: Com1 和 Com3 共享中断请求 (IRQ) 4。Com2 和 Com4 共享 IRQ 3。因此,对于串行通信,不能同时使用 COM1 和 COM3,也不能同时使用 COM2 和 COM4。例如,不能在 COM1 上使用“网络连接”的同时在 COM3 上使用“终端”。
该规则同样适用于在使用其他串行通讯程序(例如“网络连接”或“终端”程序)的同时使用鼠标的情况。如果使用智能串行适配器(如 DigiBoard 串行卡),那么此规则不适用。
试图使用 ISDN 连接时,收到“无应答”的消息。
原因: ISP 服务器没有应答,因为服务器已关机或者调制解调器没有连接。
解决方案: 请与系统管理员联系。
原因: 线路忙。
解决方案: 稍后再尝试呼叫,或与您的系统管理员联系。
原因: 硬件有问题。
解决方案: 验证是否正确安装和配置了 ISDN 适配器。
原因: 电话号码配置不正确。
解决方案: 在某些情况下,ISDN 线路上的每个 B 信道都有自己的号码,而在其他的情况下,两个 B 信道共用一个号码。电信公司可以告诉您 ISDN 线路有多少个号码。
原因: 如果是在美国或加拿大,那么服务配置文件标识符 (SPID) 的配置不正确。SPID 通常由开头、结尾或两头附加数字的电话号码组成。SPID 帮助交换机了解连接到线路上的设备的类型,以及对线路上适当设备的路由呼叫。如果 ISDN 信道需要 SPID,但是没有正确输入,那么设备将无法进行呼叫或接受呼叫。
解决方案: 验证是否正确地输入了 SPID。
原因: 线路条件不好(例如,过多的干扰)导致连接中断。
解决方案: 等几分钟再尝试拨号。
原因: 您没有启用线路类型协商,或不能使用所选择的线路类型进行连接。
解决方案: 启用线路类型协商。
原因: ISDN 交换设备正忙。
解决方案: 稍候再试。
原因: DigiBoard 卡太旧。
解决方案: 如果没有最新的 PCIMAC-ISA DigiBoard 卡(序列号为 A14308 或更高),那么请与 DigiBoard 联系进行更换。
使用 X25 进行连接失败。
原因: 拨号 PAD 配置了错误的 X3 参数或串行设置。
解决方案: 如果远程访问服务器正在运行,而您不能通过 X25 智能卡或外部 PAD 直接连接到它,那么请修改拨号 PAD X3 参数或串行设置。询问系统管理员正确的设置是什么。
原因: 新建的 Padinf 项不正确。
解决方案: 您可以检查用于直接连接和外部 PAD 的其他 Padinf 项,并查看其注释。可能需要线路分析器或终端程序才能看到 PAD 的响应。对于拨号 PAD 项,可以使用 Padinf 中的项作为范例,同时注意范例所附的注释。
原因: 调制解调器不兼容。
解决方案: 如果连接到拨号 PAD 的调制解调器在连接时的速度低于其应有的速度,那么请使用兼容的调制解调器替换它。
原因: 远程访问服务器的线路拥挤。如果已经建立连接,但是网络驱动器会断开,而且您的会话会被断开或遇到网络错误,那么原因可能是远程访问服务器的租用线路上出现拥挤。
例如,若四个客户端以 9600 bps 的速率进行连接(通过拨号 PAD),则要求服务器端的租用线路为 38,400 bps(四倍于 9600)。如果租用线路没有足够的带宽,则可能会造成超时并降低已连接客户端的性能。此例假定“路由和远程访问”使用了全部带宽。如果路由和远程访问共享带宽,那么可以建立的连接会更少。
解决方案: 您的系统管理员需要验证所租用线路的速度能够支持所有 COM 端口以客户端拨入时使用的各种速度进行连接。
通过 PPTP 连接失败。
原因: TCP/IP 连接问题阻止您连接到 PPTP 服务器。
解决方案: 您或您的系统管理员可以使用 ipconfig 和 ping 命令来验证到服务器的连接。
原因: Winsock 代理客户端处于活动状态。
解决方案: 当 Winsock 代理客户端处于活动状态时, 连接不能工作。在虚拟网络连接对数据包进行封装处理之前,Winsock Proxy 已经将数据包重定向到代理服务器。请要求系统管理员禁用 Winsock 代理客户端。
原因: 您在远程访问服务器上没有适当的连接和域访问权限。
解决方案: 请与系统管理员联系。
原因: 如果使用的是 TCP/IP 协议,那么说明没有唯一的 TCP/IP 地址。
解决方案: 请与系统管理员联系。
原因: 名称解析问题阻止您将名称解析为 IP 地址。
解决方案: 在连接中指定完全合格的域名和 IP 地址。
使用 PPP 或 TCP/IP 实用程序进行的连接失败。
原因: 服务器不支持 LCP 扩展。
解决方案: 如果您不能使用 PPP 连接到服务器,或者远程计算机终止您的连接,那么服务器可能不支持 LCP 扩展。请在“网络连接”中,清除“启用 LCP 扩展”复选框。
原因: IP 报头压缩阻止 TCP/IP 实用程序的运行。如果已使用 PPP 成功地连接到远程服务器,但是 TCP/IP 实用程序不运行,那么问题可能是 IP 报头压缩。
解决方案: 在关闭 IP 报头压缩以后,尝试重新连接。
特定的程序遇到 Internet 连接问题,而且 Internet 连接共享、Windows 防火墙或者两者同时被启用。
原因: Windows 防火墙、Internet 连接共享或者这两者阻止程序或者禁止程序成功建立跨 Internet 的完全双向通讯。
解决方案: 从程序制造商那里获取 Internet 连接共享和 Windows 防火墙插件。Internet 连接共享和 Windows 防火墙插件可以在启用 Internet 连接共享 (ICS) 或 Windows 防火墙时解决特定程序遇到的任何 Internet 连接问题。插件是在磁盘或者 Internet 上作为可执行文件提供的。因为 Internet 连接共享和 Windows 防火墙插件可能使您的网络不安全,所以只有当它们的来源可信时才应该安装。详细信息,请参阅使用 Internet 连接共享和 Windows 防火墙插件。
使用 Internet 连接共享建立的连接失败。
原因: 共享了错误的 LAN 网络适配器。
解决方案: 有 Internet 连接共享的计算机需要两个连接。一个连接通常是网络适配器,连接到家庭或小型办公网络上的计算机,而另一个连接则将家庭或小型办公网络连接到 Internet。需要确保在将家庭或小型办公网络连接到 Internet 的连接上启用 Internet 连接共享。
原因: 家庭或小型办公网络没有安装 TCP/IP。
解决方案: 默认情况下,运行 Windows XP、Windows 2000、Windows Millennium Edition、Windows 98 和 Windows NT 40 的计算机上安装了 TCP/IP 协议。如果家庭或小型办公网络上的用户运行的是其他 *** 作系统,那么请检查计算机上是否安装了 TCP/IP 协议。
原因: 如果家庭或小型办公网络上的用户无法连接 Internet,那么可能是计算机上的 TCP/IP 配置不正确。
解决方案: 确保在本地连接上建立了下列 TCP/IP 设置:
IP 地址:自动获取 IP 地址(通过 DHCP)
DNS 服务器:自动获取 DNS 服务器地址
默认网关:未指定
对于运行 Windows 95、Windows 98、Windows Millennium 或 Windows NT 40 的计算机,可以在“控制面板”的“网络”中找到 TCP/IP 设置。
原因: 如果家庭或小型办公网络用户不能连接 Internet,那么需要修改其 Internet 选项。
解决方案: 必须修改 Internet 连接共享的 Internet 选项。详细信息,请参阅配置 Internet 连接共享的 Internet 选项。
原因: 没有启动 Internet 连接共享服务。
解决方案: 使用事件查看器确认是否已启动 Internet 连接共享服务。
原因: 没有正确配置 Internet 连接共享计算机的名称解析。
解决方案:您可能需要在计算机上配置 WINS 或 DNS 名称解析服务。如果家庭或小型办公网络中的计算机无法将名称解析为 IP 地址,那么可以使用 ipconfig 命令检查 Internet 连接共享计算机的名称解析配置。ISP 配置名称解析的方法有两种:
静态分配的名称服务器
必须用 ISP 提供的名称服务器的 IP 地址来手动配置 TCP/IP 协议。如果您拥有静态分配的名称服务器,那么就可以随时使用 ipconfig 命令来获取您的已配置名称服务器的 IP 地址。
动态分配的名称服务器
不需要手动配置。只要一拨打 ISP,就会动态分配 ISP 提供的名称服务器的 IP 地址。如果名称服务器是动态分配的,那么必须在连接到 ISP“之后”运行 ipconfig 命令。
原因: 如果不能通过 Internet 玩游戏,那么此应用程序使用的协议是不可转换的。
解决方案: 尝试从 Internet 连接共享计算机运行该程序。如果程序在那里能正常运行,而在家庭或小型办公网络的其他计算机上却不能,那么说明该程序可能是不可转换的。
原因: 如果无法在 Internet 上玩游戏,那么可能没有在运行 Internet 连接共享的计算机上配置该程序。
解决方案: 验证是否正确配置了该程序,包括端口号。
原因:如果 Internet 用户不能看到家庭或小型办公网络上的服务(如 Web 服务器),那么该服务没有正确配置。
解决方案: 验证已正确配置了该服务,包括端口号和 TCP/IP 地址。
原因:如果家庭网络上的用户不能使用友好名称访问 Internet 站点,那么存在 DNS 解析问题。
解决方案: 当访问 Internet 资源时,请让您的家庭或小型办公网络上的用户使用完全合格的域名或 IP 地址。
使用本地连接时,没有响应。
原因: 网络适配器可能有问题。
解决方案:尝试以下 *** 作:
检查本地连接图标的外观。根据本地连接的状态,“网络连接”文件夹中本地连接图标的外观会有所不同。而且,如果本地连接媒体断开(例如,电缆被拔掉),那么通知区域将显示一个状态图标。详细信息,请参阅本地连接。
使用 设备管理器验证您的网络适配器工作是否正常。
原因: 本地连接电缆可能没有插入网络适配器。
解决方案: 检查并确保本地连接电缆已插入网络适配器。
使用笔记本电脑连接到 ISP 时,部分或所有程序运行不正常。
原因: 当使用 ISP 连接时,WinSock 代理客户端可能会阻止程序正常运行。
解决方案: 如果您是移动用户,并且是在公司环境中使用笔记本电脑,那么当您使用同一台计算机拨号连接到 ISP 或其他网络时,可能需要禁用 Microsoft WinSock 代理客户端(“控制面板”中的 WSP 客户端)。例如,如果在办公室使用笔记本电脑,并且在家中使用同一台计算机连接到 ISP 或其他网络,那么当您使用 ISP 连接时,可能会在运行各种应用程序时遇到问题。(例如,您的程序可能无法找到需要的资源或服务器。)如果是这种情况,请禁止 Microsoft WinSock 代理客户端(“控制面板”中的 WSP 客户端)运行那些您在公司办公室里使用笔记本电脑时经常运行的程序。
传入连接客户端看不到传入连接计算机之外的资源。
另外,站长团上有产品团购,便宜有保证在防火墙安装配置之前,必须对防火墙服务器的网络连接状况进行检查。只有在服务器的网络连接状况正常的情况下,防火墙的安装配置才会比较顺利。如果在安装防火墙时没有进行这项工作,那么在安装了防火墙后一旦出现网络连接方面的问题,将很难确定问题的根源在哪里。因此必须事先确认网关服务器的工作状态。为此应该检查以下情况。1路由检查(1)分别使用ping命令和telnet命令从内部网络的一台主机经由网关与外网路由器进行联系。(2)从内部网络的一台主机经由网关向广域网主机发送telnet命令。(3)从广域网主机向内部网络的主机发送telnet命令。如果上述的任何一个测试没有成功,则必须查明原因后再进行下一步工作。2DNS服务确认网络DNS服务能否正常工作,如果有问题必须排除。3IP地址确认网关服务器上所有网卡的IP地址配置情况,由于安装的是单网关产品,还需要知道外网卡的名称。配置防火墙的安全策略需要使用这些信息。接着,明确网络安全需求。配置防火墙安全策略之前,必须根据网络安全需求,事先定义好网络对象。然后就可以制定和定义防火墙安全策略规则。设置安全策略规则应注意。(1)安全规则的级别按顺序的先后分配,先定义的规则级别高,后定义的规则级别低,当两个规则有冲突时,以满足先定义的规则为准。(2)为了防火墙及网络的安全,通常将第1条规则定义成任何用户或网络对象不能访问防火墙,将最后一条定义成任何人不能以任何形式访问网络对象。(3)管理员可以随时修改网络对象及规则,但是修改后的结果只有进行安装才能起作用。]云防火墙访问控制功能对南北向的访问控制策略进行自定义配置,从而实现对访问流量的精准控制、保护您的网络安全。
登录Web应用防火墙控制台,在左侧导航栏中,单击配置中心>基础安全,进入基础安全页面。在基础安全页面,左上角选择需要防护的域名,单击访问控制,进入访问控制页面。在访问控制页面,单击添加规则,进入添加自定义防护规则页面。
配置合适的访问控制策略能有效的帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。EIP开启防护后,访问控制策略默认状态为放行,如您希望仅放行几条EIP,建议您添加一条优先级最低的阻断全部流量的防护规则。
1、首先需要在Linux终端输入指令:iptables -I INPUT -p tcp --dport 443 -j ACCEPT。
2、回车之后继续输入指令,输入保存防火墙配置指令:service iptables save。
3、确认之后,返回防火墙配置保存成功的提示信息。
4、然后需要输入重启防火墙服务指令。
5、回车执行指令,返回防火墙服务重启成功的提示信息,至此,成功关闭了443端口。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)