防火墙系统可以分为基于包过滤(Packet Filter)的防火墙和代理服务型(Proxy Service)的防火墙。包过滤型防火墙在网络层协议入栈时根据预先设定的安全策略检测原始包,对用户完全透明,具有较高的网络性能和更好的应用程序透明性,但不能防止应用层的攻击;相应地,应用层防火墙使全部网络交换都由运行特定服务(FTP、HTTP、SMTP等)的智能防火墙来代理,这种代理提供应用层控制的功能和防止应用层受攻击的保护。NetShine系列防火墙把包过滤和应用代理结合起来,形成混合类型的防火墙系统,提供更高的安全性能。
防火墙是网络中部署广泛的安全网关产品,对用户信息系统的安全而言相当关键。防火墙的安全性基本是通过安全策略的配置来实现的。因此,防火墙安全策略配置的正确对防火墙的安全防护作用起着至关重要的作用。凭借多年经验和专业洞察,基于智慧分析平台和专业交付团队,提出解决方案——防火墙策略优化服务。
防火墙策略优化服务主要面向防火墙产品,通过采集设配置/策略数据并进行分析的形式,对安全策略进行优化:删除垃圾策略,合并重复策略,精简宽松策略,并给出配置规范建议,最终以专业报告形式呈现给客户的一种咨询服务
防火墙策略优化服务切实帮助客户发现并优化了一些重复策略、无法路由策略、可以合并策略、未被调用策略,失效策略以及宽松策略,提高了防火墙的运行效率,使网络更好地为客户生产系统服务,并且为将来进行网络优化及改造打下坚实基础。
网络防火墙策略优化服务主要面向客户防火墙产品,通过采集设配置/策略数据并进行分析的形式,对安全策略进行优化:删除垃圾策略,合并重复策略,精简宽松策略,并给出配置规范建议,最终以专业报告形式呈现给客户的一种咨询服务。通过防火墙策略优化服务,可以有效提高客户防火墙的运行效率,使网络更好地为客户生产系统服务,并且为将来进行网络优化及改造打下坚实基础。
优化步骤
禁用不必要的服务ntsysv
iptables 防火墙服务
network 网络服务
sshd ssh远程管理服务--->加密 telent--->明文
syslog 系统日志服务
crond 系统计划任务服务
xinetd 系统超级守护进程服务
关闭多余的控制台及禁止ctrl+alt+del
修改/etc/inittab文件注释掉多余的控制台,保留2个就可以
防止资源浪费
#3:2345:respawn:/sbin/mingetty tty3
禁止ctrl+alt+del快捷键
防止误操作强制关机
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
网络优化
禁止ping
多台ping服务器会ping崩溃服务器(老服务器)
防止黑客攻击途径
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
禁止源路由包(防止源欺骗)
拦截请求,假装发出包与服务器进行交互
echo 1 > /proc/sys/net/ipv4/conf/*/accept_source_route
打开SYN cookie选项,禁止SYN攻击
SYN包攻击。tcp的三次握手。客户端请求----》服务器一直等待。浪费资源,多台容易崩溃
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
扫一扫
464
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
