远程配置防火墙时不要把自己踢出服务器
防火墙是指将内网和外网分开,并依照数据包的 IP 地址、端口号和数据包中的数据来判断是否允许数据包通过的网络设备。
防火墙可以是硬件防火墙设备,也可以是服务器上安装的防火墙软件。
简单来讲,防火墙就是根据数据包自身的参数来判断是否允许数据包通过的网络设备。我们的服务器要想在公网中安全地使用,就需要使用防火墙过滤有害的数据包。
但在配置防火墙时,如果管理员对防火墙不是很熟悉,就有可能把自己的正常访问数据包和有害数据包全部过滤掉,导致自己也无法正常登录服务器。比如说,防火墙关闭了远程连接的 SSH 服务的端口。
防火墙配置完全是靠手工命令完成的,配置规则和配置命令相对也比较复杂,万一设置的时候心不在焉,悲剧就发生了。如何避免这种趟尬的情况发生呢?
最好的方法当然是在服务器本地配置防火墙,这样就算不小视自己的远程登录给过滤了,还可以通过本机登录来进行恢复。如果服务器已经在远程登录了,要配置防火墙,那么最好在本地测试完善后再进行上传,这样会把发生故障的概率降到最低。
虽然在本地测试好了,但是传到远程服务器上时仍有可能发生问题。于是笔者想到一个笨办法,如果需要远程配置防火墙,那么先写一个系统定时任务,让它每 5 分钟清空一下防火墙规则,就算写错了也还有反悔的机会,等测试没有问题了再删除这个系统定时任务。
总之,大家可以使用各种方法,只要留意不要在配置防火墙时把自己踢出服务器就好了。
2/7
web防火墙的参数设置问题:
WEB 防火墙的各项参数主要针对CC攻击进行设置,所有参数都是根据实验测试得出的,所以一般情况下建议用户直接使用系统默认设置。但在使用过程中,用户也可以根据实际攻击情况随时修改各项参数值。包括访问规则、端口设置、会话验证、代理规则。
3/7
访问规则的设置: WEB 防火墙的访问规则主要有三个部分组成: 首先是ip对网站访问的次数进行验证,在一定时间内对网站的访问没有超过设定次数,则该ip能够对网站进行访问。假设当访问在60秒内达到30次时,如果访问超过该设置,若开启会话验证模式将进入会话验证,否则直接进行拦截; 其次,“IP冻结时间”用以设置被安全狗判断为攻击的IP将会被禁止访问的时间长度,时间单位为分钟,取值需为大于1的整数,用户可以视攻击情况修改限制访问的时间长度。如说设置冻结时间为30分钟,那么在30分钟内该IP就无法访问; 最后是ip放行时间,针对会话验证模式中的几种情况,通过验证后的ip能够对网站进行访问,且在设
定的ip放行时间内不会对该ip进行会话验证,放行时间结束后将进行再次验证。
4/7
端口设置问题:
端口设置功能则是针对WEB访问的重要端口,主要起保护端口的目的。用户可以通过点击“+”按键把要保护的端口加入保护端口列表中,常见的web端口映射有80、8080等等端口
5/7
会话验证的设置: 会话验证主要通过会话模式来对访问ip进行判断访问网站是否具有合法行。会话验证拥有三种模式分别如下: 初级模式:代表非首次的非点击式会话验证(正常情况下推荐使用该模式) 中级模式:代表首次的非点击式会话验证(对所有的访问都会进行自动验证,如果网站处于间歇性被攻击状态,建议使用该模式) 高级模式:代表首次的点击式会话验证(即对所有的访问都会要求进行手动点击验证,如果网站长期处于被攻击状态,建议使用该模式)
6/7
首次代表第一次,非首次代表不是第一次。对于非首次会话验证,只有在触发了规则的情况下,才会进入会话验证或者拦截条件。比如30秒内单IP允许请求50次,如果达到或超过此条件就会触发规则,遭到拦截非点击式:透明式,WEB浏览器会自动根据回复的>通过打开到 TCP 端口号 21 的“命令通道”连接,标准模式 FTP 客户端会启动到服务器的会话。客户端通过将 PORT 命令发送到服务器请求文件传输。然后,服务器会尝试启动返回到 TCP 端口号 20 上客户端的“数据通道”连接。客户端上运行的典型防火墙将来自服务器的此数据通道连接请求视为未经请求,并会丢弃数据包,从而导致文件传输失败。 Windows Vista 和 Windows Server 2008 中的 高级安全 Windows 防火墙 支持有状态 FTP ,该 FTP 允许将端口 20 上的入站连接请求与来自客户端的先前出站 PORT 命令相匹配。但是,如果您通过 SSL 使用 FTP 来加密和保护 FTP 通信,则防火墙不再能够检查来自服务器的入站连接请求,并且这些请求会被阻止。 为了避免此问题, FTP 还支持“被动” *** 作模式,客户端在该模式下启动数据通道连接。客户端未使用 PORT 命令,而是在命令通道上发送 PASV 命令。服务器使用 TCP 端口号进行响应,客户端应连接到该端口号来建立数据通道。默认情况下,服务器使用极短范围( 1025 到 5000 )内的可用端口。为了更好保护服务器的安全,您可以限制 FTP 服务使用的端口范围,然后创建一个防火墙规则:仅在那些允许的端口号上进行 FTP 通信。 本主题将讨论执行以下 *** 作的方法: 1 配置 FTP 服务以便仅将有限数量的端口用于被动模式 FTP 2 配置入站防火墙规则以便仅在允许的端口上进行入站 FTP 连接 以下过程显示在 Internet 信息服务 (IIS) 70 版上配置 FTP 服务的步骤。如果您使用其他 FTP 服务,请查阅产品文档以找到相应的步骤。配置对 SSL 的支持不在本主题的讨论范围之内。有关详细信息,请参阅 IIS 文档。 配置 FTP 服务以便仅将有限数量的端口用于被动模式 FTP 1 在 IIS 70 管理器中的“连接”窗格中,单击服务器的顶部节点。 2 在细节窗格中,双击“FTP 防火墙支持”。 3 输入您希望 FTP 服务使用的端口号的范围。例如,41000-41099 允许服务器同时支持 100 个被动模式数据连接。 4 输入防火墙的外部 IPv4 地址,数据连接通过该地址到达。 5 在“ *** 作”窗格中,单击“应用”保存您的设置。 还必须在 FTP 服务器上创建防火墙规则,以在前一过程中配置的端口上允许入站连接。尽管您可以创建按编号指定端口的规则,但是,创建打开 FTP 服务所侦听的任何端口的规则更为容易。通过按前一过程中的步骤 *** 作,您可限制 FTP 侦听的端口。 配置入站防火墙规则以便仅允许到 FTP 所侦听端口的入站 FTP 连接 1 打开管理员命令提示符。依次单击「开始」、“所有程序”和“附件”,右键单击“命令提示符”,然后单击“以管理员身份运行”。 2 运行下列命令: 复制代码 netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 3 最后,禁用有状态 FTP 筛选,以使防火墙不会阻止任何 FTP 通信。 复制代码 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable80端口肯定要开啊!不然人家没办法访问你的防火墙!要是你是在本地更新你的网站或是数据的话也可以不用开21端口!如果你要用终端登陆就开3389!不过最好是改下端口!这个要看你实际的了!你需要什么端口的你就通过不需要的直接关掉!不允许外部连接!自建网站服务器……
1看公司决定投入多少吧~~首选还是硬件防火墙。哪个好我真不知道……这等奢侈品绝不是我这种个人用户能消费的起的~我只知道思科、华为这两个肯定差不了~~联想的貌似也可以~~当然,价格也不便宜,价位主要取决于你要求的网络吞吐量。从几千到数十万不等~~
2如果实在没有资金安装硬件防火墙。那软件防火墙要看你什么系统了。Unix有什么防火墙还真不知道……Linux下,shorewall应该不错吧(这个貌似是Linux/Unix通用的)~~我作为一个Linux的家庭用户,只要隐藏端口即可~~也没用多高级的防火墙~~
3如果很不幸你决定用Windows
Server系统做服务器……Outpost吧~~如果普通用户要求我推荐防火墙,我会有很多选择。但作为一个服务器系统,我目前只知道Outpost防火墙是支持Windows
Server系统的……效果挺好~~原来用Windows的时候用过~~挺简单,也很强大~~
4如果更加不幸的你准备拿Windows
XP去当服务器系统……那你随便吧……谁都救不了你了……问题一:关于硬件防火墙与服务器 IP如何设置 100分 这个是小意思, 不过需要详细的了解下这个需求情况, 这里说的不是很清楚。
能看一下窝的网名吗?这个问题私聊比较好啊
问题二:我们公司装了一个硬件防火墙 那机房这防火墙的界面怎么进入设置啊?求帮忙 谢谢 不知偿你防火墙是什么型号的,一般都是通过console口连接进行配置的,在或者防火墙的网口都有默认地址的,你可以查一下说明书,看上面有没有网口的默认地址,用网线连接,浏览器登陆即可
问题三:硬件防火墙设置:需要简单实用 硬件防火墙一般有两种方式进行管理:一是通过口终端管理;二是通过以太网口连接登录web管理页面。
主要设置包括模式配置、路由配置、规则设置、DMZ设置,还有一些常规设置。
有些防火墙里还有入侵检测功能、***功能,甚至防病毒功能。
其实不同品牌差别比较大。请参考wenkubaidu/a
问题四:电脑硬件防火墙如何设置? 而且你Firewall内外接口的IP都不一样,在没有路由的情况下,你如何互访。其次,为什么你的路邮器下面除了Firewall以外,还有其它电脑。难道这些电脑是为了让外部网络可能访问(比较一些Web服务器),如果真是这样,你为什么不把这些服务器接在Firewall的DMZ接口上(DMZ--停火区:是一个公布信息的区域,外部Internet以及内部Intranet可以自由的访问该区。)当然,你是什么品牌/型号防火墙有重要,如果是Cisco PIX系统的话,我认为你可以修改一下你们的网络拓朴。专线--->Cisco PIX防火墙的WAN接口,PIX Lan接你的路邮器--->交换机,连接你们的内网用户;PIX的DMZ接口再接一台交换机,连所有对外公开的服务器。回答问题二:防火墙下的用户最多只能占用5M带宽,如果是Cisco PIX系列,你可能在你的Lan设置端口速率。pixfirewall# conf ter--进行特权模式interface ethernet1 5 full--强制设置以LAN太接口1为100Mbit/s全双工通信。
问题五:硬件防火墙怎么安装与设置? 10分 wen罚ubaidu/5
这个是配置手册,你看一下
问题六:硬件防火墙设置几个ip 防火墙有2种模式,路由模式和桥接模式,路由模式最少2个不同地址段的IP地址就OK,桥接模式不需要。
接口最好2个,多个的话,可以连接不同网络。
问题七:如何进入硬件防火墙并进行设置 10分 问题是你的硬件防火墙是什么品牌型号,WEB方式一般来说说明书中都会写明管理地址的,但有些硬件防火墙会指定端口和访问IP,你用来登陆的电脑不是其指定的IP并且没有连接在指定的端口上的话,也是打不开管理界面的。
问题八:硬件防火墙如何连接设备 30分 最好能做一些策略,来过滤外网流向内网的数据。如果单位需要,还可以限制一些数据传输协议。防火墙一般都放在路由器和外网之间。
问题九:设置硬件防火墙的时候要注意点什么事项? netsecurity51cto/art/200512/14897到那里面去看吧。。详细解说。。我就不复制了
问题十:服务器、防火墙、内网该如何组网以及设置 20分 有的防火墙带网关的,不用路由器也行,你外面进线走防火墙,防火墙下是交换机,交换机连接电脑就可以了,web服务器供外网访问的话需要将那台主机设置为dmz域里,或者做端口映射,前提还需要固定ip另一台直接接交换机就可以了。配置同网段,40台机器不是很多,好管理。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)