十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
通过防火墙设置:
创新互联坚持“要么做到,要么别承诺”的工作理念,服务领域包括:成都做网站、网站制作、成都外贸网站建设、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的江城网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!
在电脑桌面依次点击开始—控制面板。
在控制面板右上角找到查看方式,点击下拉箭头,选中大图标,然后在找到并点击windows防火墙。
在打开的windows防火墙窗口左侧找到并点击高级设置。
在高级安全windows防火墙窗口左侧选中入站规则,然后在最右侧窗口中找到并点击新建规则。
在新建入站规则向导下方选中端口,然后点击下一步。
在这里请根据需要开放的端口所属协议选中TCP或者UDP,然后选中特定本地端口,在其后输入需要开放的端口号,最后点击下一步。
由于这里我们是允许这个端口使用,所以选中允许连接,如果是拒绝这个端口使用,就选中阻止连接,然后点击下一步。
这里有三种应用规则,如果是内网外网域都允许使用该端口,那么就全选,然后点击下一步。
名称随便填写,最好是填写应用该端口的服务或者应用,下面描述请根据具体的应用环境填写,点击完成即可。通过这个操作就可以在服务器中对各个端口进行开放和阻止的管理。
关闭ping扫描,虽然没什么卵用
先切换到root
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭
0代表开启
用iptables
iptables -I INPUT -p icmp -j DROP
简单介绍下基本的 dedecms _aq/' target='_blank'安全设置
一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root
这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限
以下是具体做法(需要在root下)
添加普通用户
useradd xxx
设置密码
passwd xxx
这样就创建好了一个普通用户
禁止root登录
vi /etc/ssh/sshd_config
PermitRootLogin no
Systemctl restart sshd
这样就完成了第一步,之后root就无法登录服务器只能通过普通用户su切换
二、修改ssh的默认端口22,因为ssh的端口是22,我们如果修改了该端口,他们就需要花费一点时间来扫描,稍微增加了点难度
以下将端口改为51866可以根据需要自己更改,最好选择10000-65535内的端口
step1 修改/etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#Port 22 //这行去掉#号
Port 51866 //下面添加这一行
为什么不先删除22,以防其他端口没配置成功,而又把22的删除了,无法再次进入服务器
step2 修改SELinux
安装semanage
$ yum provides semanage
$ yum -y install policycoreutils-python
使用以下命令查看当前SElinux 允许的ssh端口:
semanage port -l | grep ssh
添加51866端口到 SELinux
semanage port -a -t ssh_port_t -p tcp 51866
注:操作不成功,可以参考:
失败了话应该是selinux没有打开
然后确认一下是否添加进去
semanage port -l | grep ssh
如果成功会输出
ssh_port_t tcp 51866, 22
step3 重启ssh
systemctl restart sshd.service
查看下ssh是否监听51866端口
netstat -tuln
Step4 防火墙开放51866端口
firewall-cmd --permanent --zone=public --add-port=51866/tcp
firewall-cmd --reload
然后测试试试,能不能通过51866登录,若能登录进来,说明成功,接着删除22端口
vi /etc/ssh/sshd_config
删除22端口 wq
systemctl restart sshd.service
同时防火墙也关闭22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp
注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网,需要做端口映射)
三、使用一些类似DenyHosts预防SSH暴力破解的软件(不详细介绍)
其实就是一个python脚本,查看非法的登录,次数超过设置的次数自动将ip加入黑名单。
四、使用云锁(不详细介绍)
参考自
总的来说做好了前两步能够减少至少百分之五十的入侵,在做好第三步之后,基本可以杜绝百分之八十以上的入侵。当然最重要的还是自己要有安全意识,要多学习一些安全知识和linux的知识。
第三第四其中都有稍微提到一点,感兴趣可以看看
网络时代回答您:
购买服务器需要考虑的因素:
一、云服务器的环境
如果购买的云服务器在主干节点上,它将比平均节点访问速度快。
二、云服务器的硬件配置
一般来说,购买云服务器的配置将直接影响服务器的响应速度。云服务器的CPU数量,硬盘越大,内存越大,处理器越好,云服务器运行的速度就越快。
三、云服务器的带宽大小
云服务器的带宽将直接影响到网站访问的速度。服务器带宽越大,访问速度越快。此外,当带宽小,访客数量过多时,会出现纸箱现象。
H3C交换机端口安全模式配置
用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。其实在用户的网络访问控制方面,最直接、最简单的方法就是配置基于端口的安全模式,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。下面跟我一起来学习一下H3C以太网交换机端口安全模式配置方法!
在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类:控制MAC地址学习类和认证类。控制MAC地址学习类无需对接入用户进行认证,但是可以允许或者禁止自动学习指定用户MAC地址,也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中,通过这种方法就可以实现用户网络访问的控制。认证类则是利用MAC地址认证或IEEE 802.1X认证机制,或者同时结合这两种认证来实现对接入用户的网络访问控制。
配置了安全模式的H3C以太网交换机端口,在收到用户发送数据报文后,首先在本地MAC地址表中查找对应用户的MAC地址。如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文,否则根据端口所在安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护特性。
在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。
1. autoLearn模式与secure模式
在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。
如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。
根据以上描述,可以得出在autoLearn和secure模式下报文处理流程如图19-1所示。
图19-1 autoLearn和secure端口安全模式报文处理流程图
2. 单一IEEE 802.1X认证模式
采用单一IEEE 802.1x认证方式的端口安全模式又包括以下几种:
l userlogin:对接入用户采用基于端口的IEEE 802.1x认证,仅允许通过认证的用户接入。
l userLoginSecure:对接入用户采用基于用户MAC地址的IEEE 802.1x认证(也就是Cisco IOS交换机中所说的MAB)。仅接收源MAC地址为交换机的MAC地址的数据包,但也仅允许802.1x认证成功的用户数据报文通过。此模式下,端口最多只允许接入一个经过802.1x认证的用户(即IEEE 802.1X单主机模式)。
l userLoginSecureExt:与userLoginSecure类似,但端口下的802.1x认证用户可以有多个(即IEEE 802.1X多主机模式)。
l userLoginWithOUI:与userLoginSecure类似,端口最多只允许一个802.1x认证用户,但该用户的数据包中还必须包含一个允许的OUI(组织唯一标志符)。
因为H3C以太网交换机的IEEE 802.1X认证将在本书第21章专门介绍,故在此不再赘述。
3. MAC地址认证模式
MAC地址认证安全模式即macAddressWithRadius模式。MAC地址认证是一种基于端口和用户MAC地址的网络访问控制方法,它不需要用户安装任何客户端软件。交换机在启用了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码,因为这是基于用户MAC地址进行的认证。如果该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为“静默MAC”。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时直接做丢弃处理,以防止非法MAC短时间内的重复认证。
目前H3C以太网交换机支持“本地认证”和“RADIUS远程认证”这两种MAC地址认证方式。有关H3C以太网交换机的RADIUS服务器认证配置方法将在本书第20章专门介绍;有关MAC地址认证的配置方法将在本章19.5节介绍。
4. and模式
“and”是“和”的意思,就是要求同时满足所有的条件。and端口安全模式包括以下两种子模式:
l macAddressAndUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户首先进行MAC地址认证,当MAC地址认证成功后再进行IEEE 802.1x认证。只有在这两种认证都成功的`情况下,才允许该用户接入网络。此模式下,端口最多只允许一个用户接入网络,也就是最先通过全部这两种认证的用户。
l macAddressAndUserLoginSecureExt:与macAddressAndUserLoginSecure类似。但此模式下,端口允许接入网络的用户可以有多个。
根据以上描述得出以上这两种and端口安全子模式的报文处理流程如图19-2所示。
图19-2 and端口安全模式的报文处理流程图
5. else模式
“else”是“另外”的意思,就是一种认证通不过后还可以尝试其它的认证方式。else端口安全模式包括以下两个子模式:
l macAddressElseUserLoginSecure:当用户的MAC地址不在转发表中时,对接入用户首先进行MAC地址认证,如果认证成功则直接通过,如果MAC地址认证失败再尝试进行802.1x认证。此模式下,端口下可以有多个用户通过MAC地址认证,但端口仅允许接入一个用户经过802.1x认证,也就是最先通过802.1x认证的用户。
l macAddressElseUserLoginSecureExt:与macAddressElseUserLoginSecure类似。但此模式下,端口允许经过多个用户通过IEEE 802.1X认证。
根据以上描述得出以上这两种else端口安全子模式的报文处理流程如图19-3所示。
图19-3 else端口安全模式报文处理流程图
6. or模式
“or”是“或者”的意思,也就是可以任选其中一种认证方式。or端口安全模式包括以下两个子模式:
l macAddressOrUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户通过MAC地址认证后,仍然可以进行IEEE 802.1x认证;但接入用户通过IEEE 802.1x认证后,不再进行MAC地址认证。此模式下,可以有多个经过基于MAC地址认证的用户,但端口仅允许接入一个经过认证的802.1x用户,也就是最先通过802.1x认证的用户。
l macAddressOrUserLoginSecureExt:与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 802.1x认证的用户。
根据以上描述得出以上这两种or端口安全子模式的报文处理流程如图19-4所示。
图19-4 or端口安全模式报文处理流程图
;