新技术论坛
搜索
查看: 900|回复: 0
打印 上一主题 下一主题

[学习资料] Web安全——防火墙

[复制链接]
  • TA的每日心情
    慵懒
    2017-1-5 23:52
  • 签到天数: 183 天

    连续签到: 2 天

    [LV.7]常住居民III

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-8-20 02:03:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    简介
    用于实现服务器(Linux)的访问控制的功能的。

    分硬件和软件防火墙。
    主要是控制访问的流入和服务器的流出。
    通过黑名单和白名单的思想来实现更细粒度的控制,这个一般结合其他的应用来定义策略实现。


    概念
    黑白名单
    可以说防御的思想,主要就是黑白名单的思想!!!!是黑白名单的组合。
    黑名单指的是对名单上的ip拒绝提供服务,主要用于拒绝恶意访问和攻击。
    白名单指的是对名单上的ip是信任的,不做严格的控制(不限速、不限频率等)。比如说用于测试的时候使用、用于cdn回源下载、第三方防ddos服务的ip等。

    服务器类型
    不同服务器类型的策略是不一样的。暂时定义几个策略。这个需要根据对服务器的架构职责来划分。

    1、代理服务器。对外的http服务,一般只开放80端口,同时把请求转发到其他服务器。所以即有外网网卡又有内网网卡。
    2、业务服务器。不对外提供服务。所以没有外网网卡,只有内网网卡。以最小原则的方式,限制可以通信的端口(具体的每一个开放的端口,都需要明确提供什么服务)。特殊情况是需要外网卡的,比如说调用第三方短信或者邮件服务。
    3、堡垒机。是日常运维使用的服务器,只对外提供ssh服务。所以即有外网网卡又有内网网卡。

    场景
    1、过滤服务,只开放需要的服务
    2、控制请求的频率和速度
    3、对指定ip的访问不控制
    4、拒绝指定ip的访问

    方案



    iptables是一个链条,通过对链条规则的操作就可以实现场景的需求。链条是顺序执行的。链条是双向的,包括入和出。限制可以做到网卡级别,不同的网卡限制的规则也是不一样的

    例如代理服务器的设置

    外网提供服务的防火墙设置思路:

    1、通过黑名单思想,直接拒绝指定的ip(ip黑名单)访问。
    2、通过白名单思想,只提供80(端口白名单)端口的访问。
    3、通过白名单思想,对指定的ip(ip白名单)不设置访问限制。
    4、限制80端口的访问(频率和流量)。
    5、拒绝所有服务。

    内网提供服务的防火墙设置思路:

    1、通过白名单思想,直接允许内网的指定端口(具体根据业务,比如数据库、ssh、nfs等)可以访问
    2、拒绝所有服务。

    所以,最重要的是规则设定,以及结合其他的应用实现自动添加黑名单ip。比如说结果nginx分析出恶意ip,然后通过添加到防火墙的黑名单里。

    验证方法
    这里的验证方法和工具还需要不断的补充

    1、通过nmap来验证,端口的开放情况
    2、通过ab或者webbench来验证,限制和访问的频率

    参考资料
    1、iptables详解
    2、linux下IPTABLES配置详解
    3、netfilter/iptables全攻略
    4、iptables限制同一IP连接数
    5、使用IPTABLES限制IP上传下载速度,如何用iptables限速?


    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2025-1-4 00:00 , Processed in 0.114415 second(s), 29 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表