zoukankan      html  css  js  c++  java
  • hd + router / firewall / swich

    s

    防火墙和路由器的位置没有明确的规定,但是个人建议是路由器在最外层,之后是防火墙,最后是交换机,为什么?回答如下:
    一个网络里面,如果同时有路由器和防火墙,那么建议最好用路由器做nat,那么路由器就需要放在最外层,之后把防火墙接在后面做透明模式,在防火墙上做各种安全策略,这样就是路由器和防火墙分工合作。
    如果把防火墙放在最外层,那么你得在防火墙上做nat,依然需要在防火墙上做安全策略,那你路由器再挂在后面也没什么意义了,路由器将失去作用,用路由器反而还增加了一遍路由转发。

    防火墙--路由器--交换机 

    APF: Advanced Policy Firewall

    https://www.cnblogs.com/helloyb/archive/2013/01/30/2882728.html

    https://www.cnblogs.com/helloyb/archive/2013/01/30/2882725.html

    APF: Advanced Policy Firewall,是 Rf-x Networks 出品的Linux环境下的软件防火墙。APF采用Linux系统默认的 iptables 规则。APF可以算是Linux中最出名的软件防火墙之一。
    APF是一款Linux下的iptables防火墙,由R-fx Networks开发维护,实现代码基本为SHELL。个人觉得这是Linux下最易用,且强大的防火墙脚本。类似级别的还有Bastille,FireHol,Kill my firewall等

    下载最新版的APF:

    wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

    解压:

    tar -xzvf apf-current.tar.gz

    进入APF目录:

    cd apf-版本

    安装!

    ./install.sh

    安装完以后,开始配置APF:

    nano /etc/apf/conf.apf

    查找(ctrl + w) USE_DS=”0″ ,将之更改为 USE_DS=”1″ ;查找 USE_AD=”0″ ,将之更改为 USE_AD=”1″ 。

    然后开始配置最主要的部分:端口。

    以下提供 cPanel, Ensim 和 Plesk 的推荐配置。

    cPanel
    IG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″
    IG_UDP_CPORTS=”21,53,873″
    EGF=”1″
    EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″
    EG_UDP_CPORTS=”20,21,37,53,873″
    Ensim
    IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
    IG_UDP_CPORTS=”53″
    EGF=”1″
    EG_TCP_CPORTS=”21,22,25,53,80,110,443″
    EG_UDP_CPORTS=”20,21,53″
    Plesk
    IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″
    IG_UDP_CPORTS=”37,53,873″
    EGF=”1″
    EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″
    EG_UDP_CPORTS=”53,873″

    下面列出常规的端口,方便大家进行配置:

    21/tcp ftp
    22/tcp ssh
    25/tcp smtp
    26/tcp 备用smtp端口
    80/tcp http
    110/tcp pop3
    143/tcp imap
    443/tcp https
    993/tcp imaps
    995/tcp pop3s
    3306/tcp mysql
    5432/tcp postgres
    53/udp dns

    配置完成后保存退出,并启动APF防火墙:

    /usr/local/sbin/apf -s

    请注意,此时防火墙是运行在调试模式,每五分钟重洗配置。这样能避免因为错误的配置而使服务器瘫痪。

    确保配置无误后,再次进入配置文件(nano /etc/apf/conf.apf),将 DEVM=”1″ 更改为 DEVM=”0″ 。这样APF就会运行在常规模式下。

    重启APF(/usr/local/sbin/apf -s)。

    注意事项:如果你的Linux内核将iptables直接编译而非模块模式的话,请将配置文件中的 MONOKERN=”0″ 更改为 MONOKERN=”1″ 。

    可选配置:

    APF有个新的功能便是防止DoS攻击(/etc/apf/ad)。其日志文件保存在/var/log/apfados_log。

    下面我们将配置APF使其遇到DoS后发送电子邮件给管理员。

    打开配置文件:

    nano -w /etc/apf/ad/conf.antidos

    查找 [E-Mail Alerts] 。

    CONAME=”Your Company” 为你的网站或公司名称。

    将 USR_ALERT=”0″ 更改为 USR_ALERT=”0″ ,从而使系统发送电子邮件。

    USR=”your@email.com” 为你的电子邮件地址。

    保存并退出,重启APF(/usr/local/sbin/apf -r)。

    另外,如果需要让系统每次重新启动后自动运行APF,则执行以下命令:

    chkconfig --level 2345 apf on

    需要去除自动启动的话:

    chkconfig --del apf

     
     

    end

  • 相关阅读:
    jQuery插件实践之轮播练习(二)
    jQuery插件实践之轮播练习(一)
    AngularJS+Node.js+socket.io 开发在线聊天室
    Ubuntu上部署Ghost博客
    综合架构的简述
    进程
    路由配置
    计算机专用英语词汇1695个词汇表
    Linux打包压缩解压工具
    磁盘知识体系结构
  • 原文地址:https://www.cnblogs.com/lindows/p/15188759.html
Copyright © 2011-2022 走看看