防火牆和系統安全防護和優化

防火牆(firewall)，也稱防護牆，是由check point創立者gil shwed於2023年發明並引入國際網際網路(us5606668(a)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統，依照特定的規則，允許或是限制傳輸的資料通過。

網路層防火牆

網路層防火牆可視為一種 ip 封包過濾器（允許或拒絕封包資料通過的軟硬結合裝置），運作在底層的 tcp/ip 協議堆疊上。我們可以以列舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆（病毒除外，防火牆不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火牆裝置可能只能套用內建的規則。我們也能以另一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。

應用層防火牆

應用層防火牆是在 tcp/ip 堆疊的「應用層」上運作，您使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言，這個方法既煩且雜(軟體有千千百百種啊)，所以大部分的防火牆都不會考慮以這種方法設計。

xml 防火牆是一種新型態的應用層防火牆。

根據側重不同，可分為：包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆。

1、入侵檢測功能

網路防火牆技術的主要功能之一就是入侵檢測功能，主要有反埠掃瞄、檢測拒絕服務工具、檢測cgi/iis伺服器入侵、檢測木馬或者網路蠕蟲攻擊、檢測緩衝區溢位攻擊等功能，可以極大程度上減少網路威脅因素的入侵，有效阻擋大多數網路安全攻擊。

2、網路位址轉換功能

利用防火牆技術可以有效實現內部網路或者外部網路的ip位址轉換，可以分為源位址轉換和目的位址轉換，即snat和nat。snat主要用於隱藏內部網路結構，避免受到來自外部網路的非法訪問和惡意攻擊，有效緩解位址空間的短缺問題，而dnat主要用於外網主機訪問內網主機，以此避免內部網路被攻擊。

3、網路操作的審計監控功能

通過此功能可以有效對系統管理的所有操作以及安全資訊進行記錄，提供有關網路使用情況的統計資料，方便計算機網路管理以進行資訊追蹤。

4、強化網路安全服務

防火牆技術管理可以實現集中化的安全管理，將安全系統裝配在防火牆上，在資訊訪問的途徑中就可以實現對網路資訊保安的監管。

禁用不必要的服務ntsysv

iptables 防火牆服務

network 網路服務

sshd ssh遠端管理服務—>加密 telent—>明文

syslog 系統日誌服務

crond 系統計畫任務服務

xinetd 系統超級守護程序服務

關閉多餘的控制台及禁止ctrl+alt+del

修改/etc/inittab檔案注釋掉多餘的控制台，保留2個就可以

防止資源浪費

#3:2345:respawn:/sbin/mingetty tty3

禁止ctrl+alt+del快捷鍵

防止誤操作強制關機

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

網路優化

禁止ping

多台ping伺服器會ping崩潰伺服器（老伺服器）

防止黑客攻擊途徑

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

禁止源路由包（防止源欺騙）

攔截請求，假裝發出包與伺服器進行互動

echo 1 > /proc/sys/net/ipv4/conf/*/accept_source_route

開啟syn cookie選項，禁止syn攻擊

syn包攻擊。tcp的三次握手。客戶端請求----》伺服器一直等待。浪費資源，多台容易崩潰

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

上述三種僅在重啟之間生效，需寫成指令碼，開機自動呼叫

防火牆和系統安全防護和優化

防火牆 系統安全防護和優化

防火牆和系統安全防護和優化

防火牆和系統安全防護和優化

相關推薦

防火牆系統安全防護和優化