在 Linux 系统中,防火墙配置是保障系统安全的重要措施之一。以下是一些防火墙配置的最佳实践:
在CentOS 7 或更高版本的系统中,firewalld 已经默认安装。如果系统还没有安装,可以使用以下命令进行安装:
sudo yum install firewalld # 对于基于RPM的系统
安装完成后,使用以下命令启动 firewalld 并设置为开机自启:
sudo systemctl start firewalld
sudo systemctl enable firewalld
使用以下命令查看当前防火墙的状态:
sudo firewall-cmd --state
可以添加或删除某些服务,例如添加 HTTP 服务:
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload
可以添加或删除特定的端口,例如添加 TCP 端口 8080:
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload
可以允许或禁止特定的 IP 地址访问服务器,例如允许 IP 192.168.1.100 访问:
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'
sudo firewall-cmd --reload
修改防火墙规则后,需要重新加载防火墙配置以使更改生效:
sudo firewall-cmd --reload
通过配置防火墙规则,对已知的可信IP地址使用白名单,而对可疑或已知的恶意IP地址使用黑名单。
利用 open_basedir 指令来限制 PHP 脚本只能访问指定目录,减少安全风险。
为了提高性能和安全性,减少 PHP 中不需要的模块,只保留必要的模块。
设置错误报告为非公开,而将错误信息记录在日志文件中,以便审查和调试。
禁止 PHP 配置文件中的危险函数,如 exec,shell_exec,system 等,防止远程代码执行攻击。
创建虚拟主机并申请 SSL 证书,使网站支持 HTTPS 协议,增强数据传输的安全性。
设置合适的 HTTP 安全标头,例如 Content-Security-Policy (CSP),以减少跨站脚本攻击(XSS)的风险。
随着网络环境的变化,定期审核和更新防火墙规则变得非常重要,这包括移除不再需要的规则,以及添加新规则以应对新的威胁和挑战。
以上就是在 Linux 中配置防火墙的基本步骤和一些最佳实践,希望对您有所帮助。