为您找到与防火墙的安装与配置相关的共200个结果:
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。下面是读文网小编带来如何配置硬件防火墙的内容,欢迎阅读!
1、 打开ChinaDDOS DIY硬防的内核下载一个适合的版本,这里我下载的是V3.1BETA01的最新版本。
2、 将下载的RAR文件解压缩,得到ISO光盘镜像文件。
3、 将镜像文件刻录至光盘。
安装防火墙内核
将内核安装光盘准备好后,确认硬盘或电子盘连接到了IDE1的MASTER位置后,在防火墙平台上连接好光驱,接通防火墙平台电源,把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。
1、 屏幕显示如下图,等待内核安装光盘引导一会后(屏幕上快速闪过整屏的英文),将停留在下图的位置:
2、 按回车键继续安装, 屏幕显示如左图,出现三个选择项目:
① 安装防火墙内核,
② 开始一个命令行,
③ 重新启动系统。
3、 这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc,于是我键入hdc后回车。
4、 屏幕出现绿色done字样,表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had,这里如果系统没有自动识别到硬盘或电子盘,请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。
5、 键入had后,屏幕提示"正在将防火墙内核从hdc安装到had……",这里需要等待2分钟左右。安装工作正在进行。
6、 直到屏幕上出现"Install completed!"字样,表示安装已结束。这时按回车键返回。
7、 重新回到选择菜单后,选择3重新启动防火墙平台,记得将光盘从光驱中取出。这样,防火墙的安装就完成了。
浏览量:3
下载量:0
时间:
Postfix是一款用法灵活的电子邮件应用程序,那么大家知道Linux怎么安装配置Postfix吗?今天读文网小编与大家分享下Linux安装配置Postfix的具体操作步骤,有需要的朋友不妨了解下。
postfix的产生是为了替代传统的sendmail.相较于sendmail,postfix在速度,性能和稳定性上都更胜一筹。现在目前非常多的主流邮件服务其实都在采用postfix. 当我们需要一个轻量级的的邮件服务器是,postfix不失为一种选择。
1. postfix是免费的:
postfix想要作用的范围是广大的Internet用户,试图影响大多数的Internet上的电子邮件系统,因此它是免费的。
2. 更快:
postfix在性能上大约比sendmail快三倍。一部运行postfix的台式PC每天可以收发上百万封邮件。
3. 兼容性好:
postfix是sendmail兼容的,从而使sendmail用户可以很方便地迁移到postfix。Postfix支持/var[/spool]/mail、/etc/aliases、 NIS、和 ~/.forward 文件。
4. 更健壮:
postfix被设计成在重负荷之下仍然可以正常工作。当系统运行超出了可用的内存或磁盘空间时,postfix会自动减少运行进程的数目。当处理的邮件数目增长时,postfix运行的进程不会跟着增加。
5. 更灵活:
postfix是由超过一打的小程序组成的,每个程序完成特定的功能。你可以
通过配置文件设置每个程序的运行参数。
6. 安全性
postfix具有多层防御结构,可以有效地抵御恶意入侵者。如大多数的postfix程序可以运行在较低的权限之下,不可以通过网络访问安全性相关的本地投递程序等等。
下面来介绍linux上如何搭建和配置postfix服务:
1.关掉sendmail相关的所有服务,最好是直接卸载sendmail.
# service sendmail stop
# chkconfig sendmail off
#rpm -qa | grep sendmail | xargs rpm -e
2.安装postfix.
redhat6.0以上版本应该是默认集成了postfix服务的,假如没有安装的话,可以手动安装。
rpm -qa | grep postifx (查看是否安装)
yum install postfix
3.安装完成后,修改配置文件:/etc/postfix/main.cfg
vi /etc/postfix/main.cf
myhostname = sample.test.com ← 设置系统的主机名
mydomain = test.com ← 设置域名(我们将让此处设置将成为E-mail地址“@”后面的部分)
myorigin = $mydomain ← 将发信地址“@”后面的部分设置为域名(非系统主机名)
inet_interfaces = all ← 接受来自所有网络的请求
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain ← 指定发给本地邮件的域名
home_mailbox = Maildir/ ← 指定用户邮箱目录
<保存退出!>
4.为本机添加DNS server.
为什DNS Server?因为在邮件发送过程中,需要把邮件地址的domain地址转化成IP地址,再去发送给对应的收件人,这里涉及到DNS中的A记录和MX记录相关的知识,不熟悉的同学可以google或者百度 脑补一下 :-)
如何添加DNS server呢,DNS server去哪里寻找?
vim /etc/resolv.conf
添加如下行:
nameserver 8.8.8.8
nameserver 8.8.4.4
上面用的8.8.8.8/8.8.4.4是Google Free DNS server,当然还有很多免费的DNS server供大家使用,可以google一下:-)
5.测试一下邮件是否能够发送成功:
命令行输入$: > echo "Mail Content" | mail -s "Mail Subject" xxxx@xxx.com
Note:if you see below warings after you run above command.
send-mail: warning: inet_protocols: IPv6 support is disabled: Address family not supported by protocol
send-mail: warning: inet_protocols: configuring for IPv4 support only
postdrop: warning: inet_protocols: IPv6 support is disabled: Address family not supported by protocol
postdrop: warning: inet_protocols: configuring for IPv4 support only
that means you don't have IPv6 configured in your OS's network stack, but your mailer (presumably postfix) is configured to use IPv6. Since there is no IPv6 for your mailer to use, it's warning you that it's only going to use IPv4.
To disable the waring messsage, go to /etc/postfix/main.cf and change from:
inet_protocols = all
to:
inet_protocols = ipv4
This will only use ipv4 and the warning message will go away.
You will have to issue a stop and start for postfix to register the change.
service postfix restart
6.查看log,确认邮件发送状态:
Postfix邮件的log位置是:/var/log/maillog
发送成功的话,会返回250和OK,也可以去自己的邮件客户端查收。
一切OK的话,那Postfix mail service应该就搭建成功了。
另外一些有用的postfix维护命令,一遍日常的检测和维护:
mailq :会列出当前在postfix发送队列中的所有邮件
postsuper -d ALL:删除当前等待发送队列的所有邮件,包括发送失败的退信
当然还有很多,就不一一列举了,大家可以网上搜索扩展,Good Luck!
7.Update Mail From sender
echo "do-not-reply@example.com root@example.com" >> /etc/postfix/generic
echo "smtp_generic_maps = hash:/etc/postfix/generic" >>/etc/postfix/main.cf
postmap /etc/postfix/generic
service postfix restart
看过“Linux怎么安装配置Postfix”
浏览量:2
下载量:0
时间:
现在目前非常多的主流邮件服务其实都在采用postfix,那么大家知道Linux系统怎么安装配置Postfix吗?今天读文网小编与大家分享下Linux系统安装配置Postfix的具体操作步骤,有需要的朋友不妨了解下。
在创建网站应用时,在用户进行某些操作时需要发邮件给用户是一种必不可少的操作。云服务虽然是一个不错的选择。但如果体量太小,或是受到某些条件限制时,自建服务也许是一个更好的选择。下面尝试在 CentOS 7 中搭建发送邮件的功能。
安装 Postfix
postfix是Wietse Venema在IBM的GPL协议之下开发的MTA(邮件传输代理)软件。postfix是Wietse Venema想要为使用最广泛的sendmail提供替代品的一个尝试。在Internet世界中,大部分的电子邮件都是通过sendmail来投递的,大约有100万用户使用sendmail,每天投递上亿封邮件。这真是一个让人吃惊的数字。Postfix试图更快、更容易管理、更安全,同时还与sendmail保持足够的兼容性。
(为什么用postfix:
1. postfix是免费的:
postfix想要作用的范围是广大的Internet用户,试图影响大多数的Internet上的电子邮件系统,因此它是免费的。
2. 更快:
postfix在性能上大约比sendmail快三倍。一部运行postfix的台式PC每天可以收发上百万封邮件。
3. 兼容性好:
postfix是sendmail兼容的,从而使sendmail用户可以很方便地迁移到postfix。Postfix支持/var[/spool]/mail、/etc/aliases、 NIS、和 ~/.forward 文件。
4. 更健壮:
postfix被设计成在重负荷之下仍然可以正常工作。当系统运行超出了可用的内存或磁盘空间时,postfix会自动减少运行进程的数目。当处理的邮件数目增长时,postfix运行的进程不会跟着增加。
5. 更灵活:
postfix是由超过一打的小程序组成的,每个程序完成特定的功能。你可以通过配置文件设置每个程序的运行参数。
6. 安全性
postfix具有多层防御结构,可以有效地抵御恶意入侵者。如大多数的postfix程序可以运行在较低的权限之下,不可以通过网络访问安全性相关的本地投递程序等等。 )
Postfix 现在几乎已经是 MTA (Mail Transfer Agent) 的标配了。但在它之前 Sendmail 是标配。所以在一些老旧的系统版本中,安装 Postfix 时需要先删除 Sendmail。如果系统已经安装了 Postfix,可以略过此步。
使用下面的命令查看系统使用的 MTA 情况:
代码如下:
alternatives --display mta
删除 Sendmail
代码如下:
sudo yum remove sendmail
安装 Postfix
代码如下:
sudo yum install postfix
设置 Postfix 为 MTA
代码如下:
sudo alternatives --set mta /usr/sbin/sendmail.postfix
配置 Postfix
编辑 /etc/postfix/main.cf 文件中如下配置:
复制代码代码如下:
myhostname = mail.dyniao.com # 主机名称
mydomain = dyniao.com # 邮件服务器的主域名
myorigin = $mydomain # 发送邮件中显示的域名
inet_protocols = ipv4 # 支持的网络协议
以上配置只是我在测试时能运行的最小配置,请勿使用于正式场合或生产环境。
启动 Postfix:
代码如下:
sudo service postfix start
让 Postfix 支持开机启动:
代码如下:
sudo systemctl enable postfix.service
域名配置
完成上面的步骤,已经可以往任意邮箱发送邮件了。但通常情况下只能在对方的垃圾箱中找到。要避免这种情况,还需要对主机进行域名解析的配置,使对方接收邮件的服务器信任收到的邮件。步骤如下:
添加一个 A 记录,设置邮箱用的域名,如: mail.zzxworld.com,指向主机 ip。
添加一个 MX 记录,指向第一步中添加的邮箱域名。
添加一个 TXT 记录,记录值为:
代码如下:
v=spf1 a mx ~all
上面的记录值表示使用 SPF (Sender Policy Framework) 来防止别人伪造邮件。
等域名解析生效后,就可以正常的从主机发送邮件了。
看过“Linux系统怎么安装配置Postfix”
浏览量:2
下载量:0
时间:
当我们的电脑没有安装防火墙!那么会出现什么状况呢?下面由读文网小编给你做出详细的防火墙不安装介绍!希望对你有帮助!
“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度
它能允许“同意”的人和数据进入网络,同时将“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问的网络。
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。
它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
防火墙可以防止黑客扫描到你的电脑中的漏洞
防止蠕虫自动入侵
防止局域网内的恶意扫描
主要就是防止端口和漏洞扫描
让网络上的不怀好意的人利用
更新系统是必须的,不然即使有防火墙,黑客也可以从漏洞中钻进来。要让防火墙很严密 最好的办法就是经常更新。从理论上来说
任何的软件和硬件都有一定的缺陷,不可能永远的安全。但你装了防火墙和打伤系统补丁后,可以大大的降低被黑客攻陷和被感染病毒的几率,所以安全措施是一定要的,防火是一定要装的。
windows的自带防火墙是属于系统自带的组件的,如果有更新的话,是会在系统更新的时候一并更新的!windows自带的防火墙作用不大,如果需要更安全的防护的话,还是得装一个更加强大的防火墙,比如天网、或者瑞星的防火墙。
浏览量:7
下载量:0
时间:
当我们安装防火墙时!该如何安装!要注意些什么呢?下面由读文网小编给你做出详细的安装防火墙注意事项介绍!希望对你有帮助!
打防火墙-》规选项启用要勾选允许例外-》例外选项勾选window防火墙阻止程序通知我window自带防火墙能监控所传入未经请求流量主请求传流量作理第三防火墙(瑞星防火墙)两都进行监控建议使用第三防火墙
您针所补充问题我觉网吧边应该(瑞星)防火墙应用程序规则添加PPpocovagaa并设置拒绝或者网吧根本用防火墙设置关闭些软件端口已
浏览量:3
下载量:0
时间:
当我们的电脑没有安装防火墙时!会有什么后果呢?下面由读文网小编给你做出详细的不安装防火墙后果介绍!希望对你有帮助!
防火墙很有用的,最主要的功能在于防止密码被盗和黑客攻击,系统里有自带的防火墙,一般够用了
但你想再装个杀软的防火墙就更安全了!楼上的,防火墙只能在病毒未进入时防护,进了电脑里,就等于防火墙没能力拦住此病毒了!
浏览量:20
下载量:0
时间:
我的电脑想要一个防火墙!那么该怎么样去安装和设置呢?下面由读文网小编给你做出详细的安全和设置防火墙方法介绍!希望对你有帮助!
电脑在Xp系统以上版本,均自带防火墙。查看方法为:
控制面板->Windows防火墙。
打开后,可以查看是否启用了,以及防火墙的防范对象是什么。
不使用系统防火墙的情况下,一般的杀毒软件或安全卫士之类的软件也提供防火墙功能。
具体看一下任务栏右下角,如果有相关的杀毒软件或安全卫士之类的软件图标,可以点击它,进入主界面后查找相关的防火墙的设置。
浏览量:3
下载量:0
时间:
我和朋友们在同一个局域网!当局域网安装防火墙后!无法访问了!该怎么办呢?下面由读文网小编给你做出详细的安装防火墙后局域网无法访问解决方法介绍!希望对你有帮助!
准确的说你要饶过的不是防火墙,是路由器。因为路由器后面的内部网中的机器就算不用防火墙,你也访问不了的。
在路由上设置端口映射就可以了。或者在内网中的一台机器上装上虚拟网络软件/软件/木马,你再用客户端连接就可以访问了。如果要访问内部网的任何一台机器,需要在装的机器上设置路由,或者安装代理。
浏览量:2
下载量:0
时间:
电脑防火墙是我们的第一道防线,也是最后一道防线!那么我们要怎么样去安装呢?下面由读文网小编给你做出详细的防火墙安装方法介绍!希望对你有帮助!
步骤1、首先需要了解电脑防火墙的位置,最简单的办法就是进入控制面板,找到windows 防火墙,打开就可以进入到具体设置页面。
2、打开电脑windows防火墙后,如果仅仅是想禁用或者启用防火墙,那么直接选定“启用”或者“关闭”,然后确定就可以了。
3、启用防火墙之后,如果想让一些软件可以进行网络连接,对另外一些程序和服务禁用网络连接,那么可以在电脑windows防火墙中选择例外菜单,如果要禁用已经联网的程序或服务,只需将勾选去除,按确定就可以了。
4、如果有一些需要的程序或服务没有在例外列表中,而防火墙又是开启的,那么这部分程序和服务就不能连接外网。添加方法如下,点击例外菜单下的添加程序按钮,然后在新窗口列表中选择要添加的程序,选择确定保存就可以了。
5、如果你设置了很多例外,到最后都想取消,取消一些不当的操作,只需要将防火墙还原为默认值就可以了,选择防火墙高级菜单,点击“还原为默认值”按钮即可。
6、还原后,也就是说以后有程序和服务要访问网络时,都会被阻止,这时需要在例外菜单中设置“防火墙阻止程序时通知我”,这样就可以通过辨别来对某些有用的程序放行了。
7、最后建议将防火墙一直开着,这是保护电脑不被利用的有利防线。
看了“ 防火墙如何安装”文章的还看了:
浏览量:9
下载量:0
时间:
FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。那么大家知道CentOS中怎么安装配置FTP服务器吗?今天读文网小编与大家分享下CentOS中安装配置FTP服务器的具体操作步骤,有需要的朋友不妨了解下。
安装 VSFTP
代码如下:
yum -y install vsftpd
创建FTP日志文件路径
代码如下:
touch /var/log/vsftpd.log
启动配置
代码如下:
chkconfig --list vsftpd
如果是全off 则手动设置 0:off 1:off 2:off 3:off 4:off 5:off 6:off
代码如下:
chkconfig --level 2345 vsftpd on
启动ftp服务:
代码如下:
service vsftpd start
查看ftp服务状态:
代码如下:
service vsftpd status
重启ftp服务:
代码如下:
service vsftpd restart
关闭ftp服务:
代码如下:
service vsftpd stop
编辑配置文件
代码如下:
vi /etc/vsftpd/vsftpd.conf
代码如下:
anonymous_enable=NO #设定不允许匿名访问
local_enable=YES #设定本地用户可以访问。注:如使用虚拟宿主用户,在该项目设定为NO的情况下所有虚拟用户将无法访问。
chroot_list_enable=YES #使用户不能离开主目录
xferlog_file=/var/log/vsftpd.log #设定vsftpd的服务日志保存路径。注意,该文件默认不存在。必须要手动touch出来
ascii_upload_enable=YES #允许使用ASCII模式上传
ascii_download_enable=YES #设定支持ASCII模式的上传和下载功能。
pam_service_name=vsftpd #PAM认证文件名。PAM将根据/etc/pam.d/vsftpd进行认证
以下这些是关于Vsftpd虚拟用户支持的重要CentOS FTP服务配置项目。
默认vsftpd.conf中不包含这些设定项目,需要自己手动添加RHEL/CentOS FTP服务配置。
代码如下:
guest_enable=YES #设定启用虚拟用户功能。
guest_username=ftp #指定虚拟用户的宿主用户。-RHEL/CentOS中已经有内置的ftp用户了
user_config_dir=/etc/vsftpd/vuser_conf #设定虚拟用户个人vsftp的RHEL/CentOS FTP服务文件存放路径。存放虚拟用户个性的CentOS FTP服务文件(配置文件名=虚拟用户名)
创建 chroot list,将ftp用户加入其中:
代码如下:
touch /etc/vsftpd/chroot_list
echo ftp >> /etc/vsftpd/chroot_list
安装Berkeley DB工具
代码如下:
yum install db4 db4-utils
创建用户密码文本,注意奇行是用户名,偶行是密码
代码如下:
vi /etc/vsftpd/vuser_passwd.txt
ftpuser1
ftppass1
ftpuser2
ftppass2
生成虚拟用户认证的db文件
代码如下:
db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
编辑认证文件,注释掉所有配置
代码如下:
vi /etc/pam.d/vsftpd
增加下面两句
代码如下:
auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd
创建虚拟用户个性RHEL/CentOS FTP服务文件
代码如下:
mkdir /etc/vsftpd/vuser_conf/
vi /etc/vsftpd/vuser_conf/ftpuser1
内容如下:
代码如下:
local_root=/opt/var/ftp1 # 虚拟用户的根目录(根据实际修改)
write_enable=YES # 可写
anon_umask=022 # 掩码
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
开启防火墙端口
代码如下:
vi /etc/sysconfig/iptables
添加一行,端口号使用的默认21端口
代码如下:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
为目录附权限并重启动vsftp服务:
代码如下:
mkdir /opt/var/ftp/ftpuser1
chmod 777 /opt/var/ftp/ftpuser1
service vsftpd restart
看过“CentOS中怎么安装配置FTP服务器”
浏览量:5
下载量:0
时间:
win防火墙如果想要配置下!你会不会呢?下面由读文网小编给你做出详细的win防火墙配置方法介绍!希望对你有帮助!
在【控制面板】窗口中双击【windows 防火墙】图标,打开【windows 防火墙】对话框。
选择【例外】选项卡,在其中即可阻止除了选定程序和服务之外的传入网络连接。
在windows防火墙中,可以重新设置指定的服务和程序的属性,以逃避攻击。在【例外】选项卡下【程序和服务】列表中勾选【远程桌面】复选框,单击【编辑】按钮,打开【编辑服务】对话框,在其中即可看到【远程桌面】服务的当前属性。
单击【更改范围】按钮,打开【更改范围】对话框。在其中选择【仅我的网络】单选按钮,这样同一个子网上的计算机可以与此计算机上的程序连接,但拒绝远程网络的通信
利用windows系统自带防火墙的【安全日记记录】功能,可以创建用于观察计算机成功的数据连接和被丢弃的数据包。以便分析计算机安全状况。在【windows 防火墙】对话框中选择【高级】选项卡,在其中即可看到【安全日志记录】功能
在“安全日志记录”栏目中单击【设置】按钮,打开【日志设置】对话框。勾选【记录被丢弃的数据包】复选框,单击【另存为】按钮重新设置日志文件的保存位置和名称,最后设置日志文件的大小。
网络上的计算机通过internet控制信息协议可能共享错误的状态信息,所以为了保证计算机的一些错误信息不会对外泄露,可以在【高级】选项卡下的【icmp设置】对话框,在其中勾选相应的复选框即可。
看了“ win防火墙如何配置”文章的还看了:
浏览量:3
下载量:0
时间:
ftp对于我们电脑来说是很重要的!那么win7防火墙如何配置ftp服务器呢?下面由读文网小编给你做出详细的win7防火墙配置ftp方法介绍!希望对你有帮助!
1、打开 "控制面板",选择"程序" -> "打开或关闭Windows资源",在弹出的窗体里找到 “Internet信息服务”,展开后选择“Ftp服务器",然后点击"确定",此时Windows开始更新功能资源列表。
2、更新完成后,进入"控制面板" -> "系统和安全" -> "管理工具" ,双击 "Internet 信息服务(IIS)管理器"。在弹出的窗体中右键点击你的计算机名称,选择添加FTP站点。
在弹出的对话框中输入Ftp站点的名称(例如"myFtp"),物理路径(例如"d:myFtp"),点击 "下一步".在"IP地址"框中输入本机的IP地址(例如本机IP地址为192.168.1.100)
然后点"下一步",(注:此步操作时要根据实际情况,慎重配置),由于本人局域网中的安全问题没有过于敏感的信息,因此在身份验证中选中"匿名",并允许所有用户访问,执行读和写的操作权限。最后点击完成。
3、配置防火墙,以便其它用户通过局域网中其它计算机访问本计算机中的Ftp资源。进入"控制面板" -> "系统和安全" - > "允许程序通过防火墙" -> 钩上FTP及后面两个框选上。
浏览量:2
下载量:0
时间:
sonicwall想要安装一个防火墙,用什么方法好呢?下面由读文网小编给你做出详细的sonicwall防火墙安装方法介绍!希望对你有帮助!
点击防火墙(Firewall)按钮
选择访问规则(Access Rules)
点击打算修改规则的“编辑”图标来对规则进行编辑
弹出的下拉框,按需要对访问规则进行调整(图J)
另外,你也可以点击某个访问规则相应的垃圾桶图标,从而删除它。
图J:SonicWALL的下拉框可以迅速的编辑访问规则
点击“确定(OK)”来实施编辑(如果你是删除某个规则,则会提示你确认该操作)。SonicWALL的固件会写入修改,并更新防火墙的配置。
编辑服务组群SonicWALL设备,默认情况下包含服务目标和组群,是设计用于简化防火墙管理的。使用SonicWALL防火墙,服务组以及目标,一般是用于向网络用户提供常见应用和服务(比如PC Anywhere, ShoreTel, VNC以及Yahoo Messenger) 要回顾一台防火墙设备的设定登录进入SonicWALL防火墙。
点击防火墙(Firewall)按钮
选择服务(Services)
默认会提供许多服务组(图K)。要增加额外的组或目标:
登录进入SonicWALL防火墙。
点击防火墙(Firewall)按钮
选择服务(Services)
点击“自定义服务”(Custom Services)按钮
点击“添加组”(Add Group)来添加一个新服务组或增加建立一个新服务(图L)。
图K:SonicWALL的固件提供了数量众多的预定义服务组,以简化防火墙设置。
图L:管理员可以在需要建立自己的防火墙服务时,通过定义对应规则来进行
如果你点击“添加组(Add Group)”,左面板会有很多预定义的选项。你可以选择其中之一或者输入自己喜欢的名字,然后点击“确定(OK)”;要配置它的设定,点击它旁边的编辑图标。
看了“sonicwall防火墙如何安装 ”文章的还看了:
浏览量:3
下载量:0
时间:
ubuntu防火墙该怎么样去配置呢?才能发挥最大功效?下面由读文网小编给你做出详细的ubuntu防火墙配置说明介绍!希望对你有帮助!
(1)查看本机关于IPTABLES的设置情况
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么规则都没有.
(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则
我们在来看一下
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
怎么办,去本机操作呗!
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)
如果做了WEB服务器,开启80端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
如果做了DNS服务器,开启53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
允许loopback!(不然会导致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.
减少不安全的端口连接
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.
当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加
允许SSH登陆一样.照着写就行了.
下面写一下更加细致的规则,就是限制到某台机器
如:我们只允许192.168.0.3的机器进行SSH连接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.
或采用命令方式:
[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样写 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的规则连接也一样这么设置.
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
我在前面只所以允许ICMP包通过,就是因为我在这里有限制.
二,配置一个NAT表放火墙
1,查看本机关于NAT的设置情况
[root@tp rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.0/24 anywhere to:211.101.46.235
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章
当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
如果你想清除,命令是
[root@tp ~]# iptables -F -t nat
[root@tp ~]# iptables -X -t nat
[root@tp ~]# iptables -Z -t nat
2,添加规则
添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),
添加规则,我们只添加DROP链.因为默认链全是ACCEPT.
防止外网用内网IP欺骗
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
例:
禁止与211.101.46.253的所有连接
[root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP
禁用FTP(21)端口
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP
这样写范围太大了,我们可以更精确的定义.
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 211.101.46.253 -j DROP
这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
最后:
drop非法连接
[root@tp ~]# iptables -A INPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP
允许所有已经建立的和相关的连接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
看了“ubuntu防火墙如何配置好 ”文章的还看了:
浏览量:6
下载量:0
时间:
linux防火墙对于我们来说是非常重要的!那么我们要怎么样去配置呢?下面由读文网小编给你做出详细的linux防火墙配置方法介绍!希望对你有帮助!
虚拟机下可以不用设置或者开启防火墙。
简单介绍Linux系统防火墙检查、开启和关闭。
ping测试必须在关闭Linux防火墙的条件下进行,否则可能失败。
查看防火墙信息:
#/etc/init.d/iptables status
防火墙重启:
#/etc/init.d/iptables restart
关闭开启防火墙服务(不建议永久关闭防火墙):
永久生效:chkconfig iptables on/off(重启生效)
即时生效:service iptables start/stop(重启失效)
永久关闭防火墙也可以这样:
#chkconfig --level 35 iptables off
#chkconfig -level 35 iptables off
也可以直接修改 /etc/sysconfig/iptables 添加一条
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT。
看了“linux防火墙如何配置 ”文章的还看了:
浏览量:2
下载量:0
时间:
nfs防火墙要怎么样去配置才能发挥出最大的优势呢?下面由读文网小编给你做出详细的nfs配置防火墙方法介绍!希望对你有帮助!
1,防火墙是否关闭或者开放端口;
2,selinux状态;
3,网络是否可达,ping一下;
4,NFS服务器设置是否正确,有没有给客户端所在ip段权限;
这种问题很难讲是为什么,所以,最后都重新确认一遍,各个有可能出错的地方。
看了“ nfs如何配置防火墙”文章的还看了:
浏览量:2
下载量:0
时间:
juniper防火墙想要配置多个ip,该怎么办呢?下面由读文网小编给你做出详细的juniper防火墙配置多个ip方法介绍!希望对你有帮助!
进入防火墙的Web界面,设置接口地址
Trust接口
Network > Interfaces > Edit (对于Trust Interface)
Zone Name: Trust
Static IP: IP Address/Netmask: 192.168.1.1/24 (内网IP,可以根据自己的需要修改,默认IP为192.168.1.1/24 )
Interface Mode: NAT
默认的管理地址(Manage IP)与接口地址相同,但也可以更改,但管理地址必须与接口地址在同一网段中。
Untrust接口
Network > Interfaces > Edit (对于Untrust Interface)
Zone Name: Untrust
Static IP: IP Address/Netmask: 外网IP (输入接入商给的外网IP及掩码地址)
Interface Mode: Route
设置路由
只有对于使用固定IP地址线路接入方式,才需要设置默认路由。其他两种接入方式,防火墙会自动添加默认路由的。
Network > Routing > Destination
选择trust-vr,New
IP Address/Netmask: 0.0.0.0/0.0.0.0
选择Gageway,Interface选择Untrust接口,Gateway IP Address填写接入商提供的网关IP。
设置策略
部分低端的防火墙中默认有一条From Trust To Untrust,原地址为ANY,目标地址为ANY,服务为ANY的允许策略。其他型号均没有,需要手动添加。
选择From Trust To Untrust,New新建一条
Source Address选择New Address,填写192.168.1.0/24 (内网网段)
Destination Address选择Address Book Entry,再选择ANY
Service选择ANY
Action选择Permit
选择Logging
OK退出
这条策略是允许内网的所有用户上网,不做任何限制。
看了“ juniper防火墙如何配置多个ip”文章的还看了:
浏览量:2
下载量:0
时间:
我的电脑有了nod32防火墙,那么要不要安装杀毒软件了呢?下面由读文网小编给你做出详细的nod32防火墙是否需要安装杀毒软件介绍!希望对你有帮助!
如果电脑中存在专业防火墙,那么还是安装不带防火墙版本的比较好。
如果电脑中没有房火枪,安装防火墙版本比较合适。
但是eset nod32带防火墙版本,比较占用内存,cpu等大量资源。所以如果电脑配置属于中下的建议下载腾讯电脑管家,卡巴斯基等程序。
保持良好的上网习惯,可以大大减少病毒感染的几率
浏览量:2
下载量:0
时间: