2设置边界防火墙安全(共7篇)
2设置边界防火墙安全 篇1
这是个病毒肆虐,木马横行的年代,让电脑“裸奔”是相当危险,防火墙的重要性不言而喻,选择一款专业的安全防护工具保护系统安全十分重要,很多朋友会选择安装第三方防火墙来捍卫系统的安全,其实,不必舍近求远,Windows7系统自带的防火墙就很给力,下面我们就来看看Windows7自带的防火墙是如何捍卫系统安全的。
启用防火墙
在Windows7系统中,启用防火墙非常简单,单击“开始→控制面板”,打开“控制面板”窗口,单击“系统和安全”,进入“系统和安全”窗口,单击“Windows防火墙”,进入“Windows防火墙”窗口,然后单击窗口左侧导航栏上的“打开或关闭Windows防火墙”,进入“自定义设置”窗口,在这里就可以启用Windows7系统自带的防火墙。
高级安全设置
Windows7系统自带防火墙的默认设置可能不能完全满足你的需求,可以在“Windows防火墙”窗口中单击“高级设置”,进入“高级安全Windows防火墙”窗口,对出入站规则、连接安全规则等进行配置。
小提示:Windows7自带防火墙针对每一个程序为用户提供了三种实用的网络连接方式:允许连接、只允许安全连接和阻止连接。选择“允许连接”,程序或端口在任何的情况下都可以被连接到网络;选择“只允许安全连接”,程序或端口只有IPSec保护的情况下才允许连接到网络;选择“阻止连接”,将阻止此程序或端口的任何状态下连接到网络,
个性化设置
每个人对安全防护的的需求都是有区别的,Windows7自带防火墙也考虑到这一点,允许用户进行一些个性化设置,以满足用户的个性化需求。例如:在开启Windows7自带防火墙状况下,可以通过设置允许某个程序通过防火墙进行网络通讯。
单击“Windows防火墙”窗口左侧导航栏上的“允许程序或功能通过Windows防火墙”,进入“允许程序”窗口,除了Windows基础服务外,如果你还想让某一应用软件能顺利通过Windows防火墙,可以单击“允许运行另一程序”按钮,弹出“添加程序”窗口,手动将程序列表中的程序添加进来,设置为允许运行的程序,如果程序不在列表中,还可以单击“浏览”按钮,手动选择相关程序,将其设置为允许运行的程序。
小提示:除了设置“允许的程序”,Windows7自带防火墙还可以快速还原默认设置,网络疑难解答,必要时还可以阻止一切网络连接,使用方法都很简单,这里不再详细叙述,还是留给大家在实际使用过程中去体会吧。
以上我们给大家介绍了Windows7系统自带的防火墙,与老版Windows系统相比,Windows7系统自带的防火墙功能更强大,使用更方便。电脑系统安全防护不必舍近求远,开启Windows7自带防火墙,就可以为系统安全保驾护航。
2设置边界防火墙安全 篇2
关键词:网络边界安全;防火墙技术;网络流量控制
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 03-0045-02
Design and Implementation of Network Border Security Based Firewall
Zhao Xia
(Tianjin,Oilfield Petroleum Engineering Research Institute Test Center of Science and
Technology, Dagang District,Tianjin300280,China)
Abstract:The paper has cleared the importance of the border security network, and analyzed the firewall technology. Then the paper has further studied the design and implementation of the network border security, involving the border architecture if parallel firewall, the control of network edge traffic stream. The research of the paper has effectively ensured the security of network border communication.
Keywords:Network Border Security;Firewall Technology;Network Traffic Control
一、引言
通常情况下,网络是以广播为技术基础的系统,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,入侵者只要接入网络上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。而网络边界安全系统的建立能有效缓解上述安全隐患。
二、防火墙技术的剖析
防火墙(Firewall)防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备,是安装了防火墙软件的主机、路由器或多机系统。在实现防火墙的众多技术中,如下技术是其实现的关键技术:包过滤技术;状态检查技术;地址转换技术[1]。
三、网络边界安全系统的设计与实现
(一)并联防火墙的边界体系结构
本文研究的并联防火墙边界体系并联模式,以不同的安全需求对网络的资源进行分段保护。多重防火墙的使用可以让网络安全系统有条理地控制资源的访问。由于几个防火墙串联工作,到达数据服务器的流量要经过几个防火墙才能到达,这会增加网络的延迟时间,降低网络的速度,在同样满足对不同资源进行分级保护的条件下,因此本文将防火墙的串联模式改成了并联模式,在并联模式下,各防火墙联接的子网在不同的安全策略下可以实现分级保护的目的,也避免了不同子网的延时不一致的问题,如图3-1所示。
在本文的研究中,我们使用了一个应用网关和一个有状态防火墙,每个设备都保护一套不同的系统,应用网关健壮的代理功能可以保护在Internet上访问的系统,如Web、SMTP和DNS服务器。本文采用有状态防火墙来保护网络中心子网(中心服务器和桌面计算机),利用并行的不同防火墙,充分发挥他们的提供的最佳功能,如表1所示:
(二)网络边界流量的控制
网络边界安全系统中的流量控制是保证网络安全的重要措施之一,因为网络中的各个服务都是通过TCP或者UDP进行数据通信,通过防火墙对单个用户IP进行连接数的限制,从而限制诸如迅雷、P2P等极大占用通道的工具,以保证网络线路的通畅[2]。下例为利用防火墙对内网的用户带宽、连接数进行管理。
定义带宽和连接数
Firewall statistic system enable
Firewall car-class 1 300000
Firewall car-class 2 500000
……
在用户入口应用定义带宽及连接数
Trust
Priority is 85
Interface of the zone is (1):
GigabitEthernet1/0/0
Statistic enable ip inzone
Statistic enable ip outzone
Statistic ip-stat inbound acl-number 3061
Statistic ip-stat outbound acl-number 3061
Statistic connect-number ip tcp outbound 3 acl 2000
……
Static car ip outbound 1 acl 2002
对于网络主干网上流量的监视、记录是网络性能管理中的一个重要方面。通过这些信息的收集,管理人员可以实时地观察网络的运行情况,发现超载的部件,找出潜在的问题。通过对不同时期、不同时间网络流量的分析,可以预测网络的发展趋势,对网络性能进行长久的规划,及时完成网络设备的更新,从而避免网络饱和所引起的低性能。
四、小结
网络边界安全系统能为网络用户的信息交换提供一个安全的环境和完整的平台,可以从根本上解决来自网络外部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案为基础形成一个更加完善的教学与管理自动化系统。利用高性能的网络安全环境,有效地保证秘密、机密文件的安全传输。因此,本文的研究将有相当大的现实与社会效益。
参考文献:
[1]周国勇.基于多重访问控制的网络边界防御技术研究[J].信息网络安全,2009,(10)
2设置边界防火墙安全 篇3
XXXX安[2017]XX号
关于设置安全管理机构和配备安全管理人员的通知
各部门、车间:
为切实加强公司安全生产工作的领导,落实安全生产监管主体责任,营造一个良好的安全生产氛围,确保公司持续稳定、健康发展的安全生产局面。根据公司目前人员变动情况,经研究,决定设置安全管理机构和配备安全管理人员,情况如下:
一、成立安全生产领导小组 组 长: 副组长: 组 员:
领导小组下设安全生产办公室为日常管理办公室,XXX兼任办公室主任,XXX为成员,XXX为专职安全管理人员。
二、主要职责
(一)领导小组的主要职责
负责承担本公司安全生产管理活动的统一指挥、协调统筹,负责指挥施工安全和事故抢险救援,定期听取办公室对本公司安全生产形势分析的报告,讨论审议办公室提出的工作建议。
(二)主要负责人职责
1、组织建立、健全本公司的安全生产责任制,并保证有效执行;
2、组织制定安全生产规章制度和操作规程,并保证其有效实施;
3、保证本公司安全生产投入的有效实施;
4、督促检查本单位安全生产投入工作,及时消除生产安全事故隐患;
5、组织制定并实施本公司的生产安全事故应急救援预案;
6、及时、如实报告生产安全事故。
(三)领导小组办公室主要职责:
1、定期分析公司安全生产形势,向领导小组提出工作建议;
2、定期分析法律法规及负责传达上级部门有关安全生产工作文件精神,贯彻落实领导小组的重大决议;
3、组织本公司安全生产新规章制度的调研及制定工作;
4、组织召开公司安全生产会议,保证每年不少于4次;
5、组织开展应急救援预案演练活动,并在发生安全事故时,根据应急救援预案的分工,服从指挥开展应急救援工作;
6、组织定期开展公司安全生产大检查活动,保证每年不少于4次;
7、领导小组交办的其它工作。
网络防火墙怎么设置 篇4
1.打开“控制面板”,点击“windows 防火墙”,进入到具体设置页面,如图1所示
图1
2.可以选择“启用(推荐)”防火墙,这样我们的电脑就处于开启防火墙状态了,如图2所示
图2
3、在“列外”里可以设置一些需要连网和禁用网络连接的程序,禁用联网的程序或服务要将它的勾去掉,再点“确定”,如图3所示
图3
4、如果有些程序没有出现在列外里那么就相当于是没有勾的,不能连接外网,如果想要将它设为联网的则需要点击左下角的“添加程序”,然后在新的窗口选择要添加的程序,点击“确定”就可以了,如图4所示
图4
2设置边界防火墙安全 篇5
一、Windows防火墙
在Windows Vista的防火墙控制面板窗口,可以在这里看到Windows防火墙已被启用,同时被设置为阻止程序时显示通知,网络位置是“专用网络”,如果需要更改设置的话,可以单击“更改设置”按钮,然后会打开设置窗口,你可以根据自己的需要进行更改:
1.常规
可以设置是否需要暂时关闭防火墙的保护,假如希望防火墙阻止所有程序,请勾选“阻止所有传入连接”复选框,这个设置在连接到机场或旅馆的公用网络时比较实用,当然此时你仍然可以浏览大多数网页、发送和接收电子邮件、发送和接收即时消息。
2.例外
可以添加允许通过防火墙进行通信的例外控制程序,这里已经自动设置了若干的“例外”项目,如果需要添加新的项目,可以单击“添加程序”按钮,在这里通过“浏览”按钮指定需要添加的程序。默认设置下,所添加的程序被设置为任何计算机都可以使用,如果你需要进行适当的限制,那么可以单击“更改范围”按钮,在这里选择“仅我的网络(子网)(M)”或者“自定义列表”。设置完成后单击两次“确定”按钮返回“例外”选项卡。
3.高级
如果你的计算机上设置了多个网络连接,那么可以在“高级”选项卡选择希望Windows防火墙保护的某个连接,取消“本地连接”前面的对勾就可以了。如果希望将入站连接的防火墙规则恢复至初始安装时的状态,可以在这里单击“还原为默认值”按钮,然后会弹出一个提示框,确认后即可生效。
教你一招:让防火墙更智能:按下“Win+R”组合键打开运行对话框,在这里手工输入“gpedit.msc”进入组策略对象编辑器,依次展开到“计算机配置→管理模板→Windows组件→Windows Defender”,然后双击右侧窗格中的“启用记录已知的正确检测”,选择“已启用”,这样可以让Windows Defender检测已知的正确文件,Windows防火墙在实时保护期间会启用记录检测数据;接下来,请再次双击打开“启用记录未知检测”对话框,同样将其设置为“已启用”。
二、启用高级防火墙
我们已经提到了Windows防火墙,不过这只是一个功能比较简陋的防火墙,可以将其称为“边界防火墙”,对于有着更高安全需求的用户来说,恐怕这个防火墙是远远不能满足他们需要的。其实,Vista还为我们提供了一个高级安全Windows防火墙,这是一种“状态防火墙”,启用后会检查并复选IP版本4(IPv4)和IP版本6(IPV6)流量的所有数据包,默认情况下会阻止传入流量,除非是对主机请示的响应,或者被特别允许(即创建了防火墙规则并得到了允许),同时还可以请示或要求计算机在通信之前互相进行身份验证,并在通信时使用数据完整性或加密。
既然是高级安全Windows防火墙,自然不可能轻易的提供给普通用户使用,你会发现无论是在开始菜单还是在控制面板中,都不会找到这个组件,正确的方法是按下“Win+R”组合键打开运行对话框,在这里键入“mmc”进入控制台窗口,从文件菜单中执行“添加/删除管理单元”,或者按下“Ctrl+M”组合键,在弹出的对话框中找到“高级安全Windows防火墙”,选中“高级安全Windows防火墙”,单击中间的“添加”按钮,或者直接双击,此时会弹出一个对话框,如请直接选择“本地计算机(运行此控制台的计算机)”,然后单击右下角的“完成”按钮,
返回主界面,展开“本地计算机上的高级安全Windows防火墙”,或者我们也可以在“开始”菜单的“开始搜索”框输入“防火墙”,然后在搜索结果栏直接单击“高级安全Windows防火墙”,就可以进入管理单元窗口,这是一个我们非常熟悉的MMC 3.0窗口,共分为三个窗格:
控制台树:功能类别,每个类别都可以进一步展开。
详细窗格:列出每个功能类别及其分支的详细信息,“专用配置文件是活动的”表示当前连接的网络是“专用”网络。
操作窗格:可以对每个功能类别及其分支进行具体的操作
三、配置高级防火墙
Windows Vista的防火墙配置文件一共有三个,分别是域配置文件、专用配置文件和公用配置文件,这样我们可以根据不同的网络位置,选择相应的配置,从而为用户提供了更多的选择。
右击“本地计算机上的高级安全Windows防火墙”,从快捷菜单中打开属性窗口,这里提供了三种不同的防火墙配置文件,请根据实际情况进行选择:
域配置文件:计算机连接到其帐户所在的网络时的行为。
专用配置文件:计算机连接到不包括其域帐户的网络时,例如家庭网络。
公用配置文件:由于计算机所连接的公用网络无法像IE环境中一样严格控制安全,因此从这个意义上来说,公用配置文件的设置应该最为严格。
默认设置下,前面所提到的三种防火墙的配置文件都是允许出站连接、阻止入站连接,如果没有更改配置文件的设置,那么只要具有高级安全性的Windows防火墙使用这些配置文件,都会应用其默认值。在尽可能的情况下,建议全部选择“启用”,当然你对于控制Windows防火墙的行为,可以通过“自定义”进行设置,具体选项这里就不多介绍了,感兴趣的朋友可以查看有关的技术文档或帮助文件。
四、防火墙设置实例
Windows防火墙默认阻止所有的入站连接,便默认允许所有的出站连接,如果我们需要阻止Windows Live Messenger登录到服务器,可以按照下面的步骤进行设置。
第1步:在左侧的控制台树定位到“出站规则”。
第2步:在右侧的“操作”窗格中单击“新规则”,此时会打开“新建出站规则向导”的对话框,选择“程序”,单击“下一步”按钮继续。
第3步:选择“此程序路径”,单击后面的“浏览”按钮,指定Windows Live Messenger所在的路径,单击“下一步”按钮继续。
第4步:接下来,规则向导会询问符合指定条件时所选择的操作,请选择“阻止连接”,单击“下一步”按钮继续。
第5步:选择配置文件,我们可以只选择域、专用、公用等三种网络位置中的一种,也可以全部选择。
第6步:指定这条规则的名称和描述信息,随便写一些就是了,最后单击“完成”按钮。
现在,我们再次运行Windows Live Messenger,登录时会出现无法登录的错误信息。
单击“疑难解答”按钮,软件会执行错误诊断,最后的结果当然是与防火墙有关。
win7电脑防火墙在哪里设置 篇6
点击桌面左下角的【开始】,在弹出的窗口中点击【控制面板】:
然后在控制面板中选择“网络和Internet”下的【查看网络状态和任务】:
在新的窗口中选择左下角的【Windows 防火墙】:
接着在选择窗体的左侧边栏,选择【打开或关闭Windows 防火墙】:
最后根据自己的需要选择打开或者关闭,然后在【确认即可】
1.电脑怎么设置防火墙
2.电脑qq防火墙怎么设置
3.win7电脑bios设置图解
4.电脑bios设置图解win7
5.w10怎么设置电脑防火墙
6.如何设置WIN7系统电脑使用时间和功能
7.win7怎么设置电脑密码
8.电脑怎么设置开机密码win7
9.如何在Win7系统的电脑上设置密码
2设置边界防火墙安全 篇7
安装iptables防火墙
如果没有安装iptables需要先安装,CentOS执行:
yum install iptables
Debian/Ubuntu执行:
apt-get install iptables
星期九所在的VPS上iptables设置为:
*nat
:PREROUTING ACCEPT [7978:1018059]
:POSTROUTING ACCEPT [9376:593102]
:OUTPUT ACCEPT [9376:593102]
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [449:152450]
:FORWARD DROP [52:3156]
:OUTPUT DROP [0:0]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 88 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 60.195.252.107 -i eth0 -p udp -m udp --dport 161 -j ACCEPT
-A INPUT -s 60.195.252.110 -i eth0 -p udp -m udp --dport 161 -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
其中仅开放了SSH的端口22,http的端口80,FTP的21、22,UDP的161,以及PPTP所使用的1723。LNMPA服务器可能需要注意开放88端口,因为军哥的一键安装包其后端Apache使用88端口。也可以将Nginx的端口改到88。另外此设置不接受ping的ICMP包。
iptables规则管理
列出当前iptables规则:
iptables -L -n --line-numbers
删除其中某一条规则(借助相应规则与行号),如:
iptables -D INPUT 6
iptables -D FORWARD 1
将分别删除INPUT里的第6条规则与FORWARD里的第一条规则。
iptables规则的保存与自启
设置好后,执行:
iptables-save >/etc/iptables.rules
将规则保存于/etc目录下的iptables.rules文件,然后在/etc/rc.local文件里添加随开机执行的命令:
vi /etc/rc.local
在“exit 0”的上面添入下面语句:
iptables-restore
清除iptables规则
执行:
iptables -F
iptables -X
iptables -Z
iptables从入门到精通
实验环境介绍:
本脚本环境为eth0外网,eth1内网;
#!/bin/sh
#外网网卡
EXT_IF=”eth0“
FW_IP=”61.137.85.21“
#内网网卡
INT_IF=”eth1“
LAN_IP=”192.168.0.1“
LAN_IP_RANGE=”192.168.0.0/255.255.255.0“
#加载模块,一般已内建
#Module loading.
#echo ”modprobe modules“
#modprode ip_tables
#modprode ip_nat_ftp
#modprode ip_conntrack
#modprobe ip_conntrack_ftp
#启用转发(forward)功能
echo ”enabling IP FORWARDING......“
echo ”1“ >/proc/sys/net/ipv4/ip_forward
#规则初始化,设置默认都为drop
echo ”enabling iptables rules“
#reset the default policies in the tables
#Iptables 命令参数
iptables -F
iptables -X
iptables -F -t mangle
iptables -X -t mangle
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
#set policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
###-----------------------------------------------------------------###
#过虑蠕虫病毒
#444/445/69/135/139
###-----------------------------------------------------------------###
iptables -A FORWARD -p tcp --dport 4444 -j DROP
iptables -A FORWARD -p udp --dport 4444 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 69 -j DROP
iptables -A FORWARD -p udp --dport 69 -j DROP
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 135 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A FORWARD -p udp --dport 139 -j DROP
#允许ping localhost,ping 192.168.0.1/2
#allow loopback access
iptables -A INPUT -p icmp -i lo -j ACCEPT
iptables -A OUTPUT -p icmp -o lo -j ACCEPT
#打开内对内连接
#iptables -A INPUT -i lo -j ACCEPT
#允许代理和内网客户机相互传输数据(包括ping)
#allow ping LAN
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
iptables -A OUTPUT -p ALL -o $INT_IF -d $LAN_IP_RANGE -j ACCEPT
#允许外网的网卡与内网相互通讯.接受数据只接受响应封包,否则不予放行.发送数据没有限制.
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
#拒绝外部使用内网进行欺骗
#deny local cheat
iptables -A INPUT -i $EXT_IF -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i $EXT_IF -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $EXT_IF -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i $EXT_IF -s 127.0.0.0/8 -j DROP
#从LAN进入防火墙主机的dhcp封包,不于放行,只有防火墙担任DHCP时才放行
#deny DHCP_packets from LAN
iptables -A INPUT -p udp -i $INT_IF --dport 67 --sport 68 -j DROP
###-----------------------------------------------------------------------------------###
#配置向外方向的TCP规则,其中 --state ESTABLISHED ,NEW参数指定要检查哪个状态。
#ESTABLISHED标志匹配属于已有的TCP连接的封包.
#NEW标志指定试图创建一条新的TCP连接的第一个封包,这条规则指明属于新建的和已建立的
#TCP连接的封包将会通过eth0端口向外发送.
###-----------------------------------------------------------------------------------###
iptables -A OUTPUT -o $EXT_IF -p tcp -m state --state ESTABLISHED,NEW -j ACCEPT
###----------------------------------------------------------------------------------###
#配置封包从一个端口转发到另一个端口
###----------------------------------------------------------------------------------###
iptables -A FORWARD -i $INT_IF -j ACCEPT
# same to above 和上面的规则功能相同
#iptables -A FORWARD -i $EXT_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
###-------------------------------------------------------------------------------------###
#检查到达外部网络接口的封包状态.属于已有TCP连接的封包都允许通过
# 从WAN到LAN的封包仅放行回应封包
###-------------------------------------------------------------------------------------###
iptables -A INPUT -i $EXT_IF -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# 限制过滤规则的比对频率为每分钟平均流量三个封包(超过上限的封包将暂停比对),
#并将瞬间流量设定为一次最多处理三个封包(超过上限的封包将丢弃不予处理),
#这类封包通常是 用来进行阻断式攻击
iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix ”IPT INPUT packets died:“
###-------------------------------------------------------------------------###
#不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片
###-------------------------------------------------------------------------###
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
###-------------------------------------------------------------------------###
#icmp包通过的控制,防止icmp 攻击
###-------------------------------------------------------------------------###
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
###-------------------------------------------------------------------------###
# 防止DDOS
###-------------------------------------------------------------------------###
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
###-------------------------------------------------------------------------###
# UDP包一律放行
# allow UDP
###-------------------------------------------------------------------------###
iptables -A FORWARD -p udp -d $LAN_IP_RANGE -i $EXT_IF -j ACCEPT
###-------------------------------------------------------------------------###
#根据mac屏蔽主机上网
###-------------------------------------------------------------------------###
#iptables -t nat -I PREROUTING -m mac --mac-source 4C:00:10:D8:57:F3 -j DROP
###-----------------------------------------------------###
# 开放内部主机可以telnet至外部主 telnet port 23
###-----------------------------------------------------###
#没必要打开23端口
#iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
#iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT
###-----------------------------------------------------###
# 开放邮包转送通道 open SMTP port 25
###-----------------------------------------------------###
#以下是别人可以送信给你
iptables -A INPUT -i $EXT_IF -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT
iptables -A OUTPUT -o $EXT_IF -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT
#以下是你可以送信给别人
iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT
###-----------------------------------------------------###
# 开放对外离线下载信件的通道 POP3 port 110
###-----------------------------------------------------###
iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT
###-----------------------------------------------------###
# 开放浏览网页的通道 http port 80
###-----------------------------------------------------###
iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT
###-----------------------------------------------------###
# 开放查询外部网络的DNS主机 DNS port:53
###-----------------------------------------------------###
#第一次会用udp封包来查询
iptables -A OUTPUT -o $EXT_IF -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT
#若有错误,会改用tcp包来查询
iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT
#开放这台主机上的DNS和外部的DNS主机互动查询:使用udp
iptables -A OUTPUT -o $EXT_IF -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT
#开放这台主机上的DNS和外部的DNS主机互动查询:使用udp
iptables -A OUTPUT -o EXT_IF -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i EXT_IF -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT
###------------------------------------------------------------------------###
#开放内部主机可以SSH至外部的主机 SSH port:22
###------------------------------------------------------------------------###
iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT
#以下是SSH protocol比较不同的地方
iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT
###------------------------------------------------------------------------###
###开放内部网络,可以ftp至外部主机
###------------------------------------------------------------------------###
#以下是打开命令 channel 21
iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT
#以下是打开资料 channel 20
iptables -A INPUT -i $EXT_IF -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o $EXT_IF -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT
#以下是打开 passive mode FTP 资料通道
iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT
#-------------------------------------NAT------------------------------------------------
#透明代理设定:将WWW服务转向squid
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
###-------------------------------------------------------------------------###
#启动内部对外部转址:源网络地址转换SNAT
###-------------------------------------------------------------------------###
iptables -t nat -A POSTROUTING -o $EXT_IF -s $LAN_IP_RANGE -j SNAT --to $FW_IP
###-------------------------------------------------------------------------###
#启动外部对内部转址(设置内网WWWW服务器映射)DNAT
###-------------------------------------------------------------------------###
iptables -t nat -A PREROUTING -i $EXT_IF -p tcp -d $FW_IP --dport 80 -j DNAT --to 192.168.0.16:80
双线原理是一样的:
如果内网1[或者外网]是192.168.1.0/24
内网2[或者外网]是192.168.2.0/24
只要改相应部分就行了
#启动内部对外部转址:源网络地址转换SNAT
###-------------------------------------------------------------------------###
iptables -t nat -A POSTROUTING -o $EXT_IF -s 192.168.1.0/24 -j SNAT --to $FW_IP
iptables -t nat -A POSTROUTING -o $EXT_IF -s 192.168.2.0/24 -j SNAT --to $FW_IP
附上基础规则:
*filter
:INPUT ACCEPT [106:85568]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [188:168166]
:RH-Firewall-1-INPUT - [0:0]
#允许本地回环接口(即运行本机访问本机)
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允许已建立的或相关连的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
-A OUTPUT -j ACCEPT
#允许PPTP拨号****
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
#仅特定主机访问Rsync数据同步服务
-A INPUT -s 8.8.8.8/32 -p tcp -m tcp --dport 873 -j ACCEPT
#仅特定主机访问WDCP管理系统
-A INPUT -s 6.6.6.6/32 -p tcp -m tcp --dport 8080 -j ACCEPT
#允许访问SSH
-A INPUT -p tcp -m tcp --dport 1622 -j ACCEPT
#允许访问FTP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
#允许访问网站服务
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#禁止所有未经允许的连接
-A INPUT -p tcp -j DROP
#注意:如果22端口未加入允许规则,SSH链接会直接断开,
#-A INPUT -j REJECT
#-A FORWARD -j REJECT