Linux防火墙怎样阻止恶意攻击

在Linux系统中，使用防火墙有效抵御恶意攻击

面对日益复杂的网络威胁，为Linux服务器配置一道坚固的防火墙是系统安全的第一道防线。目前，主流的工具是经典的iptables和更现代的firewalld。下面，我们就来详细拆解如何使用这两套工具，构建起基础的防御规则。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

使用iptables

1. 首先，知己知彼，查看当前的规则状态是第一步：

   sudo iptables -L -n -v

2. 配置的核心原则是“最小权限”：只开放必要的端口和服务，将所有不必要的入口一律关闭。这是构建安全策略的基石。

3. 当需要封禁特定的恶意来源时，可以阻止特定IP地址或网段。例如，要彻底拒绝来自192.168.1.100的任何访问：

   sudo iptables -A INPUT -s 192.168.1.100 -j DROP

4. 更常见的场景是按端口控制。比如，一台Web服务器，通常只允许TCP 80和443端口（HTTP/HTTPS）的入站新连接，并拒绝其他所有对这两个端口的访问尝试：

   sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport 80 -j DROP
   sudo iptables -A INPUT -p tcp --dport 443 -j DROP

5. 对于常见的SYN Flood攻击，可以利用连接限制规则来缓解：

   sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
   sudo iptables -A INPUT -p tcp --syn -j DROP

6. 规则配置好后，千万别忘了保存，否则重启后就会丢失。不同发行版的保存命令略有差异：

   在Debian或Ubuntu系统上，通常这样操作：

   sudo sh -c "iptables-sa ve > /etc/iptables/rules.v4"

   而在CentOS或RHEL 7及更早版本中，则使用：

   sudo service iptables sa ve

使用firewalld

1. 对于使用firewalld的系统，先确认其运行状态：

   sudo firewall-cmd --state

2. firewalld通过“服务”的概念来管理规则，配置起来更直观。例如，允许HTTP和HTTPS流量：

   sudo firewall-cmd --permanent --add-service=http
   sudo firewall-cmd --permanent --add-service=https

3. 同样地，要阻止某个特定IP地址，可以使用富规则（rich rule）：

   sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject'

4. 所有带--permanent参数的规则修改后，必须重载配置才能立即生效：

   sudo firewall-cmd --reload

5. 最后，查看一下所有生效的规则，确保配置符合预期：

   sudo firewall-cmd --list-all

其他建议

• 定期更新系统和软件：这是老生常谈，但至关重要。及时修补已知的安全漏洞，能从根源上减少被攻击的风险。
• 考虑入侵检测与防御系统：防火墙是守门员，而IDS（入侵检测系统）和IPS（入侵防御系统）则像是球场上的监控和自动防御机制，能帮助发现和阻断更复杂的恶意行为。
• 养成监控日志的习惯：安全是一个持续的过程。定期检查/var/log/auth.log、/var/log/syslog等关键日志文件，往往能让你在异常活动造成实际损害前，就及时发现蛛丝马迹。

总而言之，无论是选择灵活直接的iptables，还是管理便捷的firewalld，理解其原理并正确配置，都能为你的Linux系统建立起一道有效的网络屏障，显著提升抵御恶意攻击的能力。