Rumah >Operasi dan penyelenggaraan >operasi dan penyelenggaraan linux >Bagaimana untuk mengkonfigurasi tembok api untuk melindungi pelayan Linux daripada pencerobohan
Cara mengkonfigurasi tembok api untuk melindungi pelayan Linux daripada pencerobohan
Pengenalan:
Dalam pelbagai persekitaran Internet hari ini, pelayan menghadapi mencabar potensi ancaman keselamatan. Untuk melindungi pelayan Linux kami daripada pencerobohan, adalah penting untuk mengkonfigurasi tembok api yang kuat. Artikel ini akan memperkenalkan cara menggunakan perintah iptables untuk mengkonfigurasi tembok api pada pelayan Linux dan memberikan beberapa contoh peraturan biasa.
Apakah iptables?
iptables ialah alat yang digunakan untuk mengkonfigurasi peraturan capaian rangkaian dalam sistem pengendalian Linux. Ia adalah penyelesaian tembok api berkuasa yang membolehkan pentadbir mengehadkan trafik rangkaian dengan menentukan peraturan. Menggunakan iptables, anda boleh mengawal aliran paket masuk dan keluar dari pelayan anda, dengan itu meningkatkan keselamatan pelayan anda.
Langkah-langkah untuk mengkonfigurasi tembok api adalah seperti berikut:
Tentukan dasar:
Sebelum menetapkan peraturan khusus, anda perlu terlebih dahulu untuk menentukan dasar lalai. Dasar lalai menentukan tindakan apabila tiada peraturan yang sepadan ditemui. Secara amnya, prinsip kebenaran paling sedikit harus diguna pakai, iaitu, menafikan semua trafik secara lalai dan membenarkan hanya trafik tertentu melaluinya. Contoh berikut menetapkan dasar lalai untuk menafikan semua trafik masuk dan keluar:
sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT DROP
Benarkan sambungan ssh (menggunakan port 22):
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p icmp -j ACCEPT#🎜🎜 #Benarkan ping (ICMP):
sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 20 -j DROP
Cegah Serangan DDoS: #🎜🎜 Serangan DDoS (Distributed Denial of Service) ialah serangan rangkaian biasa yang direka untuk membebankan pelayan sasaran dan menghalangnya daripada menyediakan perkhidmatan biasa. Fungsi penting firewall adalah untuk menghalang serangan DDoS dengan mengehadkan bilangan sambungan yang diterima sesaat. Contoh berikut mengehadkan bilangan maksimum sambungan kepada 20:
sudo iptables -A INPUT -j LOG --log-prefix "Firewall: " sudo iptables -A OUTPUT -j LOG --log-prefix "Firewall: " sudo iptables -A FORWARD -j LOG --log-prefix "Firewall: "
sudo iptables-save > /etc/iptables/rules.v4
rrreee
Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi tembok api untuk melindungi pelayan Linux daripada pencerobohan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!