网络安全基础知识：如何设置防火墙

影响香港服务器价格的因素有哪些

不过，相对香港虚拟服务器来说，香港独立服务器的租用价格比较昂贵，所以很多人都会按月付费。香港服务器基本都是采用国际带宽，带宽资源都比较急紧缺，所以香港服务器的租用价格受带宽大小影响也很大。建议最好租用像香港新世界、电讯盈科、互联先锋这类知名品牌的数据中心，比较有保障因此，选择香港服务器，要根据实际情况来考虑，选择最合适，最适合您的的方案。

为什么防火墙如此重要？

开放式互联网上的安全性每天都变得更加重要。随着互联网和互联网知识的增长，现在全世界都可以感受到专用/虚拟服务器的好处。

 

对于许多人来说，个人数据和网络服务可访问性已成为日常生活中不可或缺的一部分。具有可访问性的好处意味着该服务是面向公众的，使得该服务容易受到不期望的和看似随机的连接的影响。

 

通常使用机器人和欺骗性IP地址进行，在开放的Internet上体验登录尝试，端口扫描和其他侵入性活动并不罕见。

 

有一些基本的安全和防火墙实践可以帮助防止这些活动变成一个更令人担忧的问题。

 

没有防火墙，您的开放端口如下所示：

首先，为了帮助掌握这些连接背后的动机，新安装的服务器用于记录2天内的传入连接。由于没有防火墙阻止与服务器的连接，因此可以分析日志数据以确定浓度区域。

 

技术信息

操作系统：CentOS 7 + cPanel

 

（cPHulk禁用）

 

– 使用iptables记录连接，并记录到以下目录 –

 

/etc/rsyslog.d/my_iptables.conf

 

:msg,contAIns,”[netfilter] ” /var/log/iptables.log

 

以下iptables规则用于将NEW（状态）入站数据包记录到eth0

 

iptables -A INPUT -i eth0 -m state –state NEW -j LOG –log-prefix='[netfilter] ‘

 

示例日志条目

Jun 15 08:02:27 gigenet kernel: [netfilter] IN=eth0 OUT= MAC=d6:f4:8e:aa:a7:94:00:25:90:0a:ad:1c:08:00 SRC=<remote IP> DST=<server IP> LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=24288 PROTO=TCP SPT=54102 DPT=1433 WINDOW=1024 RES=0x00 SYN URGP=0

 

（IP地址已被删除）

 

SRC – 源IP地址

 

DST – 目标IP地址

 

SPT – 源端口

 

DPT – 目的端口

 

PROTO – 互联网协议

 

创建了一个脚本来分析和格式化日志数据

[root@gigenet ~]# ./analyze-iptableslog.sh

 

日志文件：iptables-1.log

 

记录日期

 

# awk ‘NR==1{print “Start Date: ” $1, $2, $3;}; END{print “End Date: ” $1, $2, $3;}’ iptables-1.log

 

开课日期：6月13日08:02:21

 

结束日期：Jun 15 08:02:27

 

记录的新连接总数

# wc -l iptables-1.log

  16299 iptables-1.log

 

每个协议的连接数

# awk ‘{for (i=1;i<=NF;i++) if( ~/PROTO=/) print $i}’ iptables-1.log | sort | uniq -c | sort -rn

15900 PROTO=TCP

540 PROTO=UDP

33 PROTO=ICMP

 

唯一SRC IP地址的数量

# awk ‘{for (i=1;i<=NF;i++) if( ~/SRC=/) print $i}’ iptables-1.log | sort -n | uniq | wc -l

2886 IP Addresses

 

具有DPT的实体数量（总ICMP）

# awk ‘{for (i=1;i<=NF;i++) if( ~/DPT=/) print $i}’ iptables-1.log | wc -l

16266 DPT Connections

 

唯一的DPT命中数

# awk ‘{for (i=1;i<=NF;i++) if( ~/DPT=/) print $i}’ iptables-1.log | sort -n | uniq | wc -l

1531 Unique DPT

 

每个DPT的连接数，列表前15名

# awk ‘{for (i=1;i<=NF;i++) if( ~/DPT=/) print $i}’ iptables-1.log | sort -n | uniq -c | sort -rn | head -n 15

8888 DPT=22

1309 DPT=80

885 DPT=445

742 DPT=23

188 DPT=8000

157 DPT=1433

153 DPT=5060

111 DPT=8080

90 DPT=8545

90 DPT=3389

83 DPT=81

80 DPT=3306

73 DPT=443

67 DPT=2323

44 DPT=8888

 

如何使用防火墙缓解端口

数据显示主要目标联系端口。正如所料，具有最大连接数的端口对于Linux和Windows Web服务是常见的。

 

端口22 – 安全外壳（SSH）

端口23 – telnet

端口80 – Http

端口445 – SMB（Windows网络文件共享）

端口1433 – MSSQL

端口3306 – MYSQL

端口3389 – RDP

 

根据正在运行的服务，这些端口可能需要可用于远程服务。注意的端口是SSH端口22，telnet端口23和RDP端口3389。

 

理想情况下，这些连接应仅由系统防火墙限制为特定的IP地址。此外，机器人通常被编程为目标默认端口。因此，更改默认SSH和RDP端口将有助于防止入侵。

 

更改SSH端口（Linux，Freebsd）

SSH配置文件：

/etc/ssh/sshd_config

使用不常见的端口修改该行（0-65535）

 

港口22

重启SSHD：

 

CentOS：服务sshd重启

Debian：服务ssh重启

FreeBSD：/etc/rc.d/sshd重启

更改RDP端口（Windows）

 

Windows RDP永远不应向公众开放。如有必要，应更改RPD端口以最小化匿名连接。

打开注册表编辑器

 

找到以下注册表子项：

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber

将Decimal值修改为未使用的端口，单击“确定”。重启。

 

基本防火墙设置

有许多防火墙服务可以作为主要的安全模式。提供了一些帮助入门的基本规则命令。

 

1.添加iptables规则

iptables是最常见，最熟悉的Linux防火墙。CentOS的默认防火墙<= 6，iptables通常用作基准Linux防火墙。

 

基本规则

 

允许建立的连接：iptables -A INPUT -m state -state RELATED，ESTABLISHED -j ACCEPT

允许INPUT策略：iptables -P INPUT ACCEPT

允许IP：iptables -A INPUT -s 120.0.0.1/32 -j ACCEPT

允许IP /端口：iptables -A INPUT -s 120.0.0.1/32 -p tcp -m state -state NEW -m tcp -dport 22 -j ACCEPT

允许lo（localhost）接口：iptables -A INPUT -i lo -j ACCEPT

允许Ping：iptables -A INPUT -p icmp -j ACCEPT

允许端口：iptables -A INPUT -p tcp -dport 22 -j ACCEPT

插入允许IP（位置5）：iptables -I INPUT 5 -s 120.0.0.1/32 -j ACCEPT

插入允许IP /多端口：iptables -I INPUT 5 -s 127.0.0.1/32 -p tcp -m state -state NEW -m multiport -dport port＃1，port＃2 -j ACCEPT

（或者，将“ACCEPT”替换为“DROP”以拒绝）

使用-D选项删除现有规则：

 

 删除允许IP：iptables -D INPUT -s 120.0.0.1/32 -j ACCEPT

拒绝其余部分，拒绝（阻止）之前规则中未定义的所有连接。

 

Iptables -A -J REJECT -reject-with icmp-host-prohibited

冲洗规则

 

iptables -F

2.基本的firewalld命令

Firewalld在CentOS 7中占有突出地位.Wirewalld本质上提供了更多人类可读的命令来提交iptables规则。

 

操作，打印当前状态信息

 

状态：firewall-cmd -state

启动/停止：systemctl启动/停止firewalld.service

Start On Boot：systemctl启用firewalld

区域信息，pinrt区域参数

 

默认区域：firewall-cmd -get-default-zone

默认区域信息：firewall-cmd -list-all

列表区域：firewall-cmd -get-zones

区域信息：firewall-cmd -zone = public -list-all

修改区域

 

创建新区域：firewall-cmd -permanent -new-zone = new_zone – 更改默认区域：firewall-cmd -set-default-zone = public

更改接口：firewall-cmd -zone = public -change-interface = eth0

修改规则，区域的子网

 

允许服务：firewall-cmd -zone = public -add-service = http

允许端口：firewall-cmd -zone = public -add-port = 22 / tcp

列表服务：firewall-cmd -get-services

列出允许的服务：firewall-cmd -zone = public -list-services

列出允许的端口：firewall-cmd -list-ports

允许使用富规则明确规则的IP /端口/原型

firewall-cmd -permanent -zone = public -add-rich-rule =’rule family =“ipv4”source address =“127.0.0.1/32”port protocol =“tcp”port =“22”accept’

（使用-permanent选项为重新启动创建持久规则）

 

3.基本的ufw规则

作为ufw（UncomplicatedFirewall）引入，在Ubuntu 8.04+中受支持，它作为Ubuntu系统的默认防火墙提供。

 

操作

 

启用/禁用：ufw启用/禁用

打印规则：ufw status verbose

允许规则

 

允许端口：ufw允许22

允许IP：ufw允许来自127.0.0.1

允许IP /端口/ TCP：ufw允许从127.0.0.1到任何端口22 proto tcp

（或者，将“允许”替换为拒绝规则的“拒绝”）

删除现有规则

 

ufw delete允许来自127.0.0.1

4. Windows防火墙（Windows Server 2008更新）

控制面板>> Windows防火墙>>高级设置>>入站/出站>>新规则

 

奖金：cPanel工具 – cpHulk（？）

作为测试案例，WHM的cPHulk Bruteforce Protection已使用默认设置启用。在记录的24小时内，iptables记录的新连接数量明显减少。

 

[root@gigenet ~]# ./analyze-iptableslog.sh

 

日志文件：iptables-cphulk.log

 

记录日期

 

# awk ‘NR==1{print “Start Date: ” $1, $2, $3;}; END{print “End Date: ” $1, $2, $3;}’ iptables-cphulk.log

 

开课日期：Jun 19 04:31:43

 

结束日期：6月20日04:53:53

 

记录的新连接总数

# wc -l iptables-cphulk.log

3223 iptables-cphulk.log

 

每个协议的连接数

# awk ‘{for (i=1;i<=NF;i++) if( ~/PROTO=/) print $i}’ iptables-cphulk.log | sort | uniq -c | sort -rn

2974 PROTO=TCP

213 PROTO=UDP

36 PROTO=ICMP

 

唯一SRC IP地址的数量

# awk ‘{for (i=1;i<=NF;i++) if( ~/SRC=/) print $i}’ iptables-cphulk.log | sort -n | uniq | wc -l

1432 IP Addresses

 

具有DPT的实体数量（总ICMP）

# awk ‘{for (i=1;i<=NF;i++) if( ~/DPT=/) print $i}’ iptables-cphulk.log | wc -l

3187 DPT Connections

 

唯一的DPT命中数

# awk ‘{for (i=1;i<=NF;i++) if( ~/DPT=/) print $i}’ iptables-cphulk.log | sort -n | uniq | wc -l

943 Unique DP

 

每个DPT的连接数，列表前15名

# awk ‘{for (i=1;i<=NF;i++) if( ~/DPT=/) print $i}’ iptables-cphulk.log | sort -n | uniq -c | sort -rn | head -n 15

415 DPT=445

270 DPT=23

257 DPT=22

233 DPT=80

97 DPT=5060

72 DPT=1433

59 DPT=8545

53 DPT=8000

50 DPT=81

49 DPT=8080

46 DPT=443

41 DPT=3389

34 DPT=25

33 DPT=3306

27 DPT=2323