防火牆和系統安全防護和優化

防火牆

也稱防護牆，是由check point創立者gil shwed於2023年發明並引入國際網際網路。

它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統，依照特定的規則，允許或是限制傳輸的資料通過。

防火牆配置有三種：dual-homed方式、screened- host方式和screened-subnet方式。

1、dual-homed方式最簡單。 dual-homedgateway放置在兩個網路之間，這個dual-homedgateway又稱為bastionhost。這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力，而它往往是受「黑客」攻擊的首選目標，它自己一旦被攻破，整個網路也就暴露了。

2、screened-host方式中的screeningrouter為保護bastionhost的安全建立了一道屏障。它將所有進入的資訊先送往bastionhost，並且只接受來自bastionhost的資料作為出去的資料。這種結構依賴screeningrouter和bastionhost，只要有乙個失敗，整個網路就暴露了。

3、screened-subnet包含兩個screeningrouter和兩個bastionhost。在公共網路和私有網路之間構成了乙個隔離網，稱之為」停火區」（dmz，即demilitarizedzone）,bastionhost放置在「停火區」內。這種結構安全性好，只有當兩個安全單元被破壞後，網路才被暴露，但是成本也很昂貴。

系統安全防護

更改系統盤所有者為administrators

所有盤根目錄只保留administrators和system許可權。

系統盤加上users「讀取許可權」，僅當前目錄

c:\windows、c:\windows\system32、c:\windows\syswow64 只保留administrators和system，以及user讀和執行

c:\program files 、c:\program files (x86) 只保留administrators和system

c:\program files\common files 、c:\program files (x86)\common files 只保留administrators和system，以及user讀和執行

c:\programdata 只保留administrators和system，以及user讀和執行

c:\users 只保留administrators和system

c:\inetpub 只保留administrators和system

c:\inetpub\custerr 只保留administrators和system，以及user讀

c:\inetpub\temp 只保留administrators和system，以及user讀寫刪除和iis_iusrs讀寫刪除

c:\windows\temp 只保留administrators和system，以及user讀寫刪除和iis_iusrs讀寫刪除

c:\windows\tracing 只保留administrators和system，以及user讀和network service讀

c:\windows\vss 只保留administrators和system，以及user讀和network service讀寫刪除

c:\programdata\microsoft\devicesync 只保留administrators和system，以及user讀

c:\windows\下的部分exe軟體只保留administrators和system，如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx

注意：如果您安裝了sql server軟體，還需要給系統盤上sql server相關目錄加上mssqlserver的許可權。

如果設定後**無法訪問，給**目錄加上users的讀寫刪除許可權試試。

五、更改遠端埠

有很多暴力破解工具專門針對遠端登入，更改遠端埠能防範掃瞄。

更改埠後注意到防火牆新增新埠放行規則

六、開啟防火牆

只開放需要的埠，如：21、80、3389

防火牆和系統安全防護和優化

防火牆 系統安全防護和優化

防火牆和系統安全防護和優化

防火牆和系統安全防護和優化

相關推薦

防火牆系統安全防護和優化