linux禁止防火墙_linux防止网站攻击

Unix（Linux）系统是如何防范病毒攻击的呢

给一些建议

1、安装杀毒软件还是必要的，要及时更新病毒库，还要装防火墙（防木马、黑客攻击等），定期杀毒，维护好电脑运行安全；

推荐楼主可以安装腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！

其中软件升级、漏洞修复、垃圾清理，都有自动和定期设置，懒人必备

2、修复漏洞和补丁；打开腾讯电脑管家——工具箱——漏洞修复

3、平时不要上一些不明网站，不要随便下载东西；

4、还要提防随身移动存储设备(如U盘等，最近U盘病毒挺猖獗的）；

5、不进不明不网站，不收奇怪邮件。下载完压缩包文件后先进行病毒扫描

6、关闭不必要的端口

7、要是有时间和精力的话，学一些电脑的常用技巧和知识；

最后，我要说的是，你要是平常的确是很小心，但还是中毒的话，那也是没办法的！（用Ghost备份系统是个不错的选择）

如何在Linux下批量屏蔽恶意IP地址防攻击

解决方案： ipset +iblocklist2ipset

安装：

最简单的方法就是yum安装，但是该方法版本比较低，缺少一些使用的模块参数等，所以不大推荐；

yum install ipset -y

编译安装：

1.依赖环境：

yum install libmnl libmnl-devel kernel-devel libtool-devel -y

（新版本的安装方法：git pullgit://git.netfilter.org/libmnl.git 运行./autogen.sh）

(备注：如果只安装libmnl时，会出现下面的报错：

checking for libmnl... configure: error: Package requirements (libmnl = 1) were not met:

No package 'libmnl' found

Consider adjusting the PKG_CONFIG_PATH environment variable if you

installed software in a non-standard prefix.

Alternatively, you may set the environment variables libmnl_CFLAGS

and libmnl_LIBS to avoid the need to call pkg-config.

See the pkg-config man page for more details.

)

在编译的时候可能提示找不到/lib/modules/2.6.32-431.el6.x86_64/source

经过排查发现这个软连接/lib/modules/2.6.32-431.el6.x86_64/build--/usr/src/kernels/2.6.32-431.el6.x86_64 不存在

解决办法：重新建立软连接

ln -sb /usr/src/kernels/2.6.32-573.3.1.el6.x86_64 /lib/modules/2.6.32-431.el6.x86_64/build

在运行 ./autogen.sh时报错：

找不到 /usr/share/libtool/

解决办法：安装libtool-devel工具包即可 yum install libtool-devel

2.编译安装ipset (linuxkernel source code (version = 2.6.32))

./autogen.sh

./configure

make

make modules

make install

make modules_install

注意：不同linux内核使用不同版本的源码包

附注：linux kernel sourcecode (version = 2.6.16 or = 2.4.36)

编译安装：

make KERNEL_DIR=(shell uname -r)/build #$(shell uname -r)使用shell命令获取

make KERNEL_DIR=(shell uname -r)/build install

常用使用命令：

ipset list 查看ip集列表信息

ipset add pythontab X.X.X.X 增加一个ip地址到IP集pythontab中去

ipset add pythontab X.X.X.X/24 增加一个网段到IP集pythontab中去

ipset dell pythontab X.X.X.X 删除IP集中指定的IP地址

ipset list 查看当前所有list

ipset save pythontab -f pythontab.txt 将IP集pythontab中的信息保存到当前文件目录下面的文件pythontab.txt中

ipset destroy pythontab 删除指定的IP集pythontab

ipset restore -f pythontab.txt 将保存的pythontab.txt文件中的IP集信息重新导入到ipset中

其他命令参考 ipset --help

iptable命令参考：

iptables -I INPUT -m set --match-set pythontab src -p tcp --destination-port 80 -j DROP #拒绝ipset IP集pythontab中的地址访问服务器的80端口

service iptables save

service iptables restart

自动IP地址禁用

现在你应该看到了IP集合的强大了。维护IP黑名单是一件繁琐和费时的工作。实际上，有很多免费或者收费的服务可以来帮你完成这个。一个额外的好处是，让我们看看如何自动将IP黑名单加到IP集中。

首先让我们从iblocklist.com得到免费的黑名单

接下来我要使用一个名为iblocklist2ipset的开源Python工具来将黑名单转化成IP集。

首先，你需要安装了pip

使用的下面命令安装iblocklist2ipset。

$ pip install iblocklist2ipset

在一些发行版如Fedora，你可能需要运行：

$ python-pip install iblocklist2ipset

现在到iblocklist.com，抓取任何一个P2P列表的URL（比如"level1"列表）。

下载解压，然后保存为txt文件，比如叫做pythontab.txt, 因为iblocklist2ipset仅支持url获取list，所以把pythontab.txt放到你网站的任意目录。比如：ipset目录

$ iblocklist2ipset generate --ipset pythontab "" pythontab.txt

上面的命令运行之后，你会得到一个名为pythontab.txt的文件。如果查看它的内容，你会看到像这些：

你可以用下面的ipset命令来加载这个文件：

$ ipset restore -f pythontab.txt

现在可以查看自动创建的IP集：

$ ipset list pythontab

这样就省去了手动管理的麻烦。

注意，在centos下使用yum安装的不是最新版，可能会不支持-f参数，导入黑名单文件，所以建议用源码包安装最新版本

linux系统怎么防止DDOS攻击

用squid是利用端口映射的功能，可以将80端口转换一下，其实一般的DDOS攻击可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog里的参数就行了，默认参数一般都很小，设为8000以上，一般的DDOS攻击就可以解决了。如果上升到timeout阶段，可以将/proc/sys/net/ipv4/tcp_fin_timeout设小点。

大家都在讨论DDOS，个人认为目前没有真正解决的方法，只是在缓冲和防御能力上的扩充，跟黑客玩一个心理战术，看谁坚持到最后，网上也有很多做法，例如syncookies等，就是复杂点。

sysctl -w net.ipv4.icmp_echo_ignore_all=1

echo 1 /proc/sys/net/ipv4/tcp_syncookies

sysctl -w net.ipv4.tcp_max_syn_backlog="2048"

sysctl -w net.ipv4.tcp_synack_retries="3"

iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood

# Limit 12 connections per second (burst to 24)

iptables -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN

这个地方可以试着该该：

iptbales -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN，DDOS等。

通过更换IP，查找被攻击的站点可能避开攻击，但是中断服务的时间比较长。比较彻底

的解决方法是添置硬件防火墙。不过，硬件防火墙价格比较昂贵。可以考虑利用Linux

系统本身提供的防火墙功能来防御。

1. 抵御SYN

SYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包，但不实际

建立连接，最终导致被攻击服务器的网络队列被占满，无法被正常用户访问。

Linux内核提供了若干SYN相关的配置，用命令：

sysctl -a | grep syn

看到：

net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_syncookies = 0

net.ipv4.tcp_synack_retries = 5

net.ipv4.tcp_syn_retries = 5

tcp_max_syn_backlog是SYN队列的长度，tcp_syncookies是一个开关，是否打开SYN Cookie

功能，该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN

的重试次数。

加大SYN队列长度可以容纳更多等待连接的网络连接数，打开SYN Cookie功能可以阻止部分

SYN攻击，降低重试次数也有一定效果。

调整上述设置的方法是：

增加SYN队列长度到2048：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

打开SYN COOKIE功能：

sysctl -w net.ipv4.tcp_syncookies=1

降低重试次数：

sysctl -w net.ipv4.tcp_synack_retries=3

sysctl -w net.ipv4.tcp_syn_retries=3

为了系统重启动时保持上述配置，可将上述命令加入到/etc/rc.d/rc.local文件中。

2. 抵御DDOS

DDOS，分布式拒绝访问攻击，是指黑客组织来自不同来源的许多主机，向常见的端口，如80，

25等发送大量连接，但这些客户端只建立连接，不是正常访问。由于一般Apache配置的接受连接

数有限（通常为256），这些“假” 访问会把Apache占满，正常访问无法进行。

使用ipchains抵御DDOS，就是首先通过netstat命令发现攻击来源地址，然后用ipchains命令阻断

攻击。发现一个阻断一个。

首先查看ipchains服务是否设为自动启动：

chkconfig --list ipchains

linux的防火墙有什么作用

linux防火墙作用一：

一、防火墙的基本模型

基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈(网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙是为了保持网络连通性而设立的安全机制，因此防火墙技术就是通过分析、控制网络以上层协议特征，实现被保护网络所需安全策略的技术。构建防火墙有三类基本模型：即应用代理网关、电路级网关(Circuit Level Gateway)和网络层防火墙。

二、不应该过滤的包

在开始过滤某些不想要的包之前要注意以下内容：

ICMP包

ICMP

包可用于检测TCP/IP失败的情形。如果阻挡这些包将导致不能得“Host unreachable”或“No route to host”等信息。ICMP包还用于MTU发现，某些TCP实现使用了MTU发现来决定是否进行分段。MTU发现通过发送设置了不进行分段的位的包探测，

当得到的ICMP应答表示需要分段时，再发送较小的包。如果得不到ICMP包(“destination unreachable”类型的包)，则本地主机不减少MTU大小，这将导致测试无法停止或网络性能下降。 到DNS的TCP连接

如果要拦阻出去的TCP连接，那么要记住DNS不总是使用UDP。如果从DNS服务器过来的回答超过512字节，客户端将使用TCP连接，并仍使用端口53接收数据。若禁止了TCP连接，DNS大多数情况下会正常工作，但可能会有奇怪的延时故障出现。

如果内部网络的DNS查询总是指向某个固定的外部DNS服务器，可以允许本地域端口到该服务器的域端口连接。

主动式FTP的TCP连接

FTP有两种运作方式，即传统的主动式(active)方式和目前流行的被动式(passive)方式。在主动式FTP模式下，FTP 服务器发送文件或应答LS命令时，主动和客户端建立TCP连接。如果这些TCP连接被过滤，则主动方式的FTP将被中断。如果使用被动方式，则过滤远地的TCP连接没有问题。因为数据连接是从客户端到服务器进行的(包括双向的数据)。

三、针对可能的网络攻击

防火墙的性能是否优良关键在于其配置能否防护来自外界的各种网络攻击。这要求网络管理者能针对可能的网络攻击特点设定完善的安全策略。以网络常见的“ping of death”攻击为例，“ping of death”攻击通过发送一个非法的大ICMP包使接收者的TCP堆栈溢出从而引起混乱。针对这种攻击可将防火墙配置为阻挡ICMP分段。因为普通的

ICMP包大都不需要到分段的程度，阻挡ICMP分段只拦阻大的“ping”包。 这种防护策略也可用于针对其他协议安全缺陷的网络攻击。

linux防火墙作用二：

它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。

2.使用Firewall的益处

保护脆弱的服务

通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

控制对系统的访问

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。

集中的安全管理

Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

增强的保密性

使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。

记录和统计网络利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。

策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

3.防火墙的种类

防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。

数 据 包 过 滤

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

应 用 级 网 关

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接， 由两个终止代理服务器上的 链接来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。

linux防火墙作用三：

windows防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

具体作用如下：

1、防止来自网络上的恶意攻击;

2、阻止外来程序连接计算机端口;

3、对电脑进行防护，防止木马入侵或其它黑客软件、程序运行‘

4、阻止本地程序通过计算机端口，向外并发信息;