linx服务器中,配置防火墙时,需要注意什么问题?

linx服务器中,配置防火墙时,需要注意什么问题?,第1张

远程配置防火墙时不要把自己踢出服务器

防火墙是指将内网和外网分开,并依照数据包的 IP 地址、端口号和数据包中的数据来判断是否允许数据包通过的网络设备。
防火墙可以是硬件防火墙设备,也可以是服务器上安装的防火墙软件。
简单来讲,防火墙就是根据数据包自身的参数来判断是否允许数据包通过的网络设备。我们的服务器要想在公网中安全地使用,就需要使用防火墙过滤有害的数据包。
但在配置防火墙时,如果管理员对防火墙不是很熟悉,就有可能把自己的正常访问数据包和有害数据包全部过滤掉,导致自己也无法正常登录服务器。比如说,防火墙关闭了远程连接的 SSH 服务的端口。
防火墙配置完全是靠手工命令完成的,配置规则和配置命令相对也比较复杂,万一设置的时候心不在焉,悲剧就发生了。如何避免这种趟尬的情况发生呢?
最好的方法当然是在服务器本地配置防火墙,这样就算不小视自己的远程登录给过滤了,还可以通过本机登录来进行恢复。如果服务器已经在远程登录了,要配置防火墙,那么最好在本地测试完善后再进行上传,这样会把发生故障的概率降到最低。
虽然在本地测试好了,但是传到远程服务器上时仍有可能发生问题。于是笔者想到一个笨办法,如果需要远程配置防火墙,那么先写一个系统定时任务,让它每 5 分钟清空一下防火墙规则,就算写错了也还有反悔的机会,等测试没有问题了再删除这个系统定时任务。
总之,大家可以使用各种方法,只要留意不要在配置防火墙时把自己踢出服务器就好了。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。 部署防火墙: 规则实施
规则实施看似简单,其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口,并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序,然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的,如果将常用的规则放在首位就可以提高防火墙的工作效率。另外,应该及时地从病毒监控部门得到病毒警告,并对防火墙的策略进行更新也是制定策略所必要的手段。
规则启用计划
通常有些策略需要在特殊时刻被启用和关闭,比如凌晨3:00。而对于网管员此时可能正在睡觉,为了保证策略的正常运作,可以通过规则启用计划来为该规则制定启用时间。另外,在一些企业中为了避开上网高峰和攻击高峰,往往将一些应用放到晚上或凌晨来实施,比如远程数据库的同步、远程信息采集等等,遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。
日志监控
日志监控是十分有效的安全管理手段,往往许多管理员认为只要可以做日志的信息,都去采集,比如说对所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善,但可以想一下每天进出防火墙的数据报文有上百万甚至更多,你如何在这些密密麻麻的条目中分析你所需要的信息呢?虽然有一些软件可以通过分析日志来获得图形或统计数据,但这些软件往往需要去二次开发或制定,而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。
一般而言,系统的告警信息是有必要记录的,但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如:内网发现蠕虫病毒,该病毒可能会针对主机系统某UDP端口进行攻击,网管员虽然已经将该病毒清除,但为了监控有没有其他的主机受感染,我们可以为该端口增加一条策略并进行日志来检测网内的流量。
另外,企业防火墙可以针对超出经验阀值的报文做出响应,如丢弃、告警、日志等动作,但是所有的告警或日志是需要认真分析的,系统的告警支持根据经验值来确定的,比如对于工作站和服务器来说所产生的会话数是完全不同的,所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。
设备管理
对于企业防火墙而言,设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现,但这种方式是不太安全的,因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec 的方式来实现对内端口网管地址的管理.原则参考: >问题一:关于硬件防火墙与服务器 IP如何设置 100分 这个是小意思, 不过需要详细的了解下这个需求情况, 这里说的不是很清楚。
能看一下窝的网名吗?这个问题私聊比较好啊

问题二:我们公司装了一个硬件防火墙 那机房这防火墙的界面怎么进入设置啊?求帮忙 谢谢 不知偿你防火墙是什么型号的,一般都是通过console口连接进行配置的,在或者防火墙的网口都有默认地址的,你可以查一下说明书,看上面有没有网口的默认地址,用网线连接,浏览器登陆即可

问题三:硬件防火墙设置:需要简单实用 硬件防火墙一般有两种方式进行管理:一是通过口终端管理;二是通过以太网口连接登录web管理页面。
主要设置包括模式配置、路由配置、规则设置、DMZ设置,还有一些常规设置。
有些防火墙里还有入侵检测功能、功能,甚至防病毒功能。
其实不同品牌差别比较大。请参考wenkubaidu/a

问题四:电脑硬件防火墙如何设置? 而且你Firewall内外接口的IP都不一样,在没有路由的情况下,你如何互访。其次,为什么你的路邮器下面除了Firewall以外,还有其它电脑。难道这些电脑是为了让外部网络可能访问(比较一些Web服务器),如果真是这样,你为什么不把这些服务器接在Firewall的DMZ接口上(DMZ--停火区:是一个公布信息的区域,外部Internet以及内部Intranet可以自由的访问该区。)当然,你是什么品牌/型号防火墙有重要,如果是Cisco PIX系统的话,我认为你可以修改一下你们的网络拓朴。专线--->Cisco PIX防火墙的WAN接口,PIX Lan接你的路邮器--->交换机,连接你们的内网用户;PIX的DMZ接口再接一台交换机,连所有对外公开的服务器。回答问题二:防火墙下的用户最多只能占用5M带宽,如果是Cisco PIX系列,你可能在你的Lan设置端口速率。pixfirewall# conf ter--进行特权模式interface ethernet1 5 full--强制设置以LAN太接口1为100Mbit/s全双工通信。

问题五:硬件防火墙怎么安装与设置? 10分 wen罚ubaidu/5
这个是配置手册,你看一下

问题六:硬件防火墙设置几个ip 防火墙有2种模式,路由模式和桥接模式,路由模式最少2个不同地址段的IP地址就OK,桥接模式不需要。
接口最好2个,多个的话,可以连接不同网络。

问题七:如何进入硬件防火墙并进行设置 10分 问题是你的硬件防火墙是什么品牌型号,WEB方式一般来说说明书中都会写明管理地址的,但有些硬件防火墙会指定端口和访问IP,你用来登陆的电脑不是其指定的IP并且没有连接在指定的端口上的话,也是打不开管理界面的。

问题八:硬件防火墙如何连接设备 30分 最好能做一些策略,来过滤外网流向内网的数据。如果单位需要,还可以限制一些数据传输协议。防火墙一般都放在路由器和外网之间。

问题九:设置硬件防火墙的时候要注意点什么事项? netsecurity51cto/art/200512/14897到那里面去看吧。。详细解说。。我就不复制了

问题十:服务器、防火墙、内网该如何组网以及设置 20分 有的防火墙带网关的,不用路由器也行,你外面进线走防火墙,防火墙下是交换机,交换机连接电脑就可以了,web服务器供外网访问的话需要将那台主机设置为dmz域里,或者做端口映射,前提还需要固定ip另一台直接接交换机就可以了。配置同网段,40台机器不是很多,好管理。

在防火墙安装配置之前,必须对防火墙服务器的网络连接状况进行检查。只有在服务器的网络连接状况正常的情况下,防火墙的安装配置才会比较顺利。如果在安装防火墙时没有进行这项工作,那么在安装了防火墙后一旦出现网络连接方面的问题,将很难确定问题的根源在哪里。因此必须事先确认网关服务器的工作状态。为此应该检查以下情况。1路由检查(1)分别使用ping命令和telnet命令从内部网络的一台主机经由网关与外网路由器进行联系。(2)从内部网络的一台主机经由网关向广域网主机发送telnet命令。(3)从广域网主机向内部网络的主机发送telnet命令。如果上述的任何一个测试没有成功,则必须查明原因后再进行下一步工作。2DNS服务确认网络DNS服务能否正常工作,如果有问题必须排除。3IP地址确认网关服务器上所有网卡的IP地址配置情况,由于安装的是单网关产品,还需要知道外网卡的名称。配置防火墙的安全策略需要使用这些信息。接着,明确网络安全需求。配置防火墙安全策略之前,必须根据网络安全需求,事先定义好网络对象。然后就可以制定和定义防火墙安全策略规则。设置安全策略规则应注意。(1)安全规则的级别按顺序的先后分配,先定义的规则级别高,后定义的规则级别低,当两个规则有冲突时,以满足先定义的规则为准。(2)为了防火墙及网络的安全,通常将第1条规则定义成任何用户或网络对象不能访问防火墙,将最后一条定义成任何人不能以任何形式访问网络对象。(3)管理员可以随时修改网络对象及规则,但是修改后的结果只有进行安装才能起作用。]

能问一下,你说的PING通时,你所用的网络是什么吗如果你用的是当地的网通的话,那你PING电信的机器当然就丢包了,但如果你的电脑也是电信的,那就不正常了!其实PING不通有很多原因的,硬件防火墙对PING没有什么阻碍的,在2003的系统里,可以把PING禁掉的,别人PING时,就是PING不通,这样一来,黑客们有的就会认为,这个IP地址什么都没有!就不会再打什么歪主意了,呵呵!
如果外网正常访问没问题就行了!不用想太多了!


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13324893.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-07-15
下一篇 2023-07-15

发表评论

登录后才能评论

评论列表(0条)

保存