Chinaunix首页 | 论坛 | 博客
  • 博客访问: 552828
  • 博文数量: 48
  • 博客积分: 1249
  • 博客等级: 中尉
  • 技术积分: 1926
  • 用 户 组: 普通用户
  • 注册时间: 2010-12-04 10:22
文章存档

2012年(3)

2011年(45)

分类: 网络与安全

2011-12-15 11:40:26

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。

一、iptables防火墙并不能阻止DDOS攻击,建议在项目实施中采购硬件防火墙,置于整个系统之前,用于防DDOS攻击和端口映射;如果对安全有特殊要求,可再加上应用层级的防火墙,比如天泰防火墙,其功能强大如此:①天泰WEB应用防火墙基于对数据报文头部和载荷完整的检测,对WEB应用客户端输入进行验证,从而对各类已知的及新兴的WEB应用威胁提供全方位的防护,如SQL注入、跨站脚本、蠕虫、黑客扫描和攻击等;②天泰WEB应用防火墙提供对目前国内比较泛滥的DDOS攻击的防护。针对WEB应用进行的带宽和资源耗尽型DDOS攻击,都可轻松应对。尤其针对应用层的DDOS攻击,提供细粒度的防护,其它优点这里不一一介绍了。

二、在项目实施中建议关闭Linux服务器的iptables防火墙或FreeBSD的ipfw,目的为:①更好的提高后端服务器网络性能;②方便数据流在整个业务系统内部流通,安全方面工作由硬件防火墙来承担。

三、我目前主要将iptables用于内部作NAT防火墙,它的性能和方便管理性确实强悍,经迅雷测试可发现,公司内部的10M带宽能被利用得一丝无余;武汉地区比较常用的软件路由器是海蜘蛛,这个其实也是iptables的二次开发;前二年替朋友网吧布署网吧的路由器,我强烈推荐的是让iptables作NAT路由转发,事实证明效果很好。

四、iptables的L是命令,而-v和-n只是作为选项,它们不能进行组合,如-Lvn;如果要列出防火墙详细规则,可采用iptables -nv -L;

五、如果是使用远程来调试iptables防火墙,最好是设置crontab作业是定时停止防火墙,以防自己被锁定,5分钟停止一次iptables即可,等整个脚本完全稳定后再关闭此crontab作业。

六、如果使用默认禁止一切策略,即应立即使用回环接口lo(因为禁止一切包括了lo);附注:回环接口lo在Linux系统中被用来提供本地、基于网络的服务的专用网络接口,不用把本地数据流通过网络接口驱动器发送,而是采用操作系统通过回环接口发送,采取的捷径,大大提高了性能。

七、如果是电信或双线机房托管的服务器,在没有配置前端硬件防火墙的情况下,Linux主机一定要开启iptables防火墙,windows2003主机开启它自带的系统防火墙,并禁ping。

八、如果项格价格能承受的话,最前端的硬件防火墙应该也要作为双机冗余,防止单防火墙出问题会导致整个网站crash,防火墙跟人一样,总有顶不住压力的时候;如果有双机的话,网站出问题的机率要小许多。

阅读(3392) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~