1、Redhat操作系统只添加IP白名单,不限制端口
1.1、防火墙关闭状态示例
172.31.3.191主机防火墙为关闭状态
172.31.3.32与172.31.3.88两台主机均能正常telnet 172.31.3.191主机
1.2、防火墙开启状态示例
(1)、vim /etc/sysconfig/iptables 进入防火墙配置文件
(2)、添加需要访问服务器IP(白名单):-A INPUT -s 172.31.3.132 -j ACCEPT
(3)、启动防火墙并查看其状态
(4)、继续通过172.31.3.32与172.31.3.88两台主机telnet 172.31.3.191主机
172.31.3.32可以正常telnet 172.31.3.191主机
172.31.3.88则无法telnet 172.31.3.191主机
2、Redhat操作系统添加主机网段白名单,不限制端口
(1)、增加某个网段IP至防火墙配置文件:-A INPUT -s 136.160.123.0/24 -j ACCEPT
(2)、重启并查看防火墙状态
(3)、通过172.31.3.0及172.31.196.0网段telnet 172.31.3.191主机
上图所示,无法使用未添加的网段访问172.31.3.191主机。
3、Redhat操作系统先drop端口,再accept开放端口
(1)、在防火墙配置文件中写入以下配置:
-I INPUT -p tcp --dport 10001-j DROP
-I INPUT -s 172.31.3.32 -p tcp --dport 10001 -j ACCEPT
注意:开通172.31.3.88只是为了测试,现网环境只需要添加所需IP及端口即可。
(2)、重启并查看防火墙状态
(3)、通过172.31.3.32与172.31.3.88两台主机telnet 172.31.3.191主机
172.31.3.32可以正常telnet 172.31.3.191主机的10001端口
172.31.3.88则由于10001端口被限制且没有对其指定开放,所以无法访问10001端口。
4、Suse 11 SP2操作系统添加防火墙白名单
(1)、登陆服务器root用户
(2)、先drop端口,再指定IP访问该端口,与章节四一致,直接在命令行输入命令即可,例如:
iptables -A INPUT -s 132.232.34.0/24 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
iptables -A INPUT -s 192.168.117.0/24 -p tcp --dport 10001-j ACCEPT
iptables -A INPUT -p tcp --dport 10001-j DROP
添加完成后 iptables –L查看是否成功,如下图:
(3)、在命令行输入以上命令即可,无需提前开启防火墙,suse操作系统会默认开启,查看防火墙状态命令如下:
rcSuSEfirewall2 status
rcSuSEfirewall2 start
rcSuSEfirewall2 stop
rcSuSEfirewall2 restart
6、FAQ
以上安全加固方式可根据实际情况进行适配操作,
- 一般情况使用第一种方式则能解决,但由于安全扫描器选择项及特征库的不同会导致防火墙无法阻止;
- 第三种方式则能通过先禁用端口再指定IP访问所需端口进行安全加固,此方法可以规避除渗透扫描外的其余安全扫描方式,但需要限制较多端口则配置较多。
| 
转播
