亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

  免費注冊 查看新帖 |

Chinaunix

  平臺 論壇 博客 文庫
12下一頁
最近訪問板塊 發(fā)新帖
查看: 7405 | 回復: 12
打印 上一主題 下一主題

硬件防火墻怎么選? [復制鏈接]

論壇徽章:
0
跳轉(zhuǎn)到指定樓層
1 [收藏(0)] [報告]
發(fā)表于 2011-12-02 17:23 |只看該作者 |倒序瀏覽
本帖最后由 wowchris 于 2011-12-02 18:52 編輯

公司現(xiàn)在有2個服務器在電信機房,主要是數(shù)據(jù)庫和CRM應用,iptables配置這樣的:

iptables -P INPUT DROP
iptables -F INPUT   
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F

iptables -A INPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 8038 -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -s xxx.xxx.xxx.xxx -p 0 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 8038 -j ACCEPT


/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart


secure里老看到有人掃描SSH,后來我的做法是改了端口和認證,由于數(shù)據(jù)比較重要,并且以后數(shù)據(jù)量的增大,考慮到會拖慢機器,所以想加個防火墻,可不知道加什么的好,太貴的買不動,買什么樣的比較好呢?
選用思科PIX-506E-BUN-K9大家覺得好嗎?

論壇徽章:
3
金牛座 日期:2014-06-14 22:04:062015年辭舊歲徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:49:45
2 [報告]
發(fā)表于 2011-12-02 18:54 |只看該作者
你到底是選硬件防火墻還是自己配置iptables進行防御?

論壇徽章:
0
3 [報告]
發(fā)表于 2011-12-05 10:33 |只看該作者
2個都做,server本身做iptables,硬件防火墻也要用到,以防火墻為主,

論壇徽章:
3
金牛座 日期:2014-06-14 22:04:062015年辭舊歲徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:49:45
4 [報告]
發(fā)表于 2011-12-05 11:51 |只看該作者
2個都做,server本身做iptables,硬件防火墻也要用到,以防火墻為主,
wowchris 發(fā)表于 2011-12-05 10:33



    你防御的目標要明確,才能有針對性的采取防范措施。

論壇徽章:
0
5 [報告]
發(fā)表于 2011-12-05 17:10 |只看該作者
我是這么想的,首先我的服務器是暴露在公網(wǎng)上的,雖然在電信機房,但是通過IP就能直接找我到機器,我現(xiàn)在設置了iptaboles,雖然說是經(jīng)過端口包過濾,但是不排除間接式掃描和端口掃描,密碼探測器我也遇到過,我覺得暴露在公網(wǎng)上始終是隱患比較大,所以想弄個硬防火墻NAT,一是減少我服務器的壓力,2是DDOS之類的也不會直接對沖擊我的服務器,我是這個意思,不知道這樣說大家能看明白不?

論壇徽章:
3
金牛座 日期:2014-06-14 22:04:062015年辭舊歲徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:49:45
6 [報告]
發(fā)表于 2011-12-05 17:49 |只看該作者
我是這么想的,首先我的服務器是暴露在公網(wǎng)上的,雖然在電信機房,但是通過IP就能直接找我到機器,我現(xiàn)在設 ...
wowchris 發(fā)表于 2011-12-05 17:10



    你自己搭硬件服務器,還是買專業(yè)的啊?
另外,對于你不需要對外提供服務的端口,一定要關(guān)閉掉。

論壇徽章:
0
7 [報告]
發(fā)表于 2011-12-06 11:41 |只看該作者
我有兩個想法,一個是買硬件firewall,參考的是Juniper SG140和H3C_F100-A-AC,另外方法就是單拿個機器出來做NAT和網(wǎng)關(guān),要是流量高的話就配置4網(wǎng)卡,,最終目的還是把server放在后端,
服務器端口設置的只開放SSh端口和其他指定端口,


問題就是我不知道那款設備適合我

論壇徽章:
3
金牛座 日期:2014-06-14 22:04:062015年辭舊歲徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:49:45
8 [報告]
發(fā)表于 2011-12-06 16:14 |只看該作者
我有兩個想法,一個是買硬件firewall,參考的是Juniper SG140和H3C_F100-A-AC,另外方法就是單拿個機器出來 ...
wowchris 發(fā)表于 2011-12-06 11:41



    你要防的是網(wǎng)絡攻擊還是服務器4—7層的攻擊?
如果網(wǎng)絡層攻擊,那你買juniper的防火墻沒問題,如果是應用層攻擊,比如說hacker的sql注入,xss跨站等,juniper防火墻就愛莫能助了。
所以你還是要把需求弄明白才行哦。

論壇徽章:
0
9 [報告]
發(fā)表于 2011-12-06 16:43 |只看該作者
本帖最后由 wowchris 于 2011-12-06 16:49 編輯

服務器上跑都是數(shù)據(jù)庫,后期會有其他的應用平臺,網(wǎng)站會跟上去,只是個門面,主要我還是針對的數(shù)據(jù)庫的防護,而且后期還有可能會上win系統(tǒng),所以現(xiàn)在我感覺什么都要防護,問下應用層用什么型號,或者說有什么比較好的解決辦法。

論壇徽章:
3
金牛座 日期:2014-06-14 22:04:062015年辭舊歲徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:49:45
10 [報告]
發(fā)表于 2011-12-06 20:55 |只看該作者
服務器上跑都是數(shù)據(jù)庫,后期會有其他的應用平臺,網(wǎng)站會跟上去,只是個門面,主要我還是針對的數(shù)據(jù)庫的防護 ...
wowchris 發(fā)表于 2011-12-06 16:43



    現(xiàn)在有應用防火墻和數(shù)據(jù)庫防火墻,看你怎么選擇了。
對于數(shù)據(jù)庫方面,因為不是直接暴露,程序?qū)懙煤脡闹苯佑绊懥似浒踩浴?
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規(guī)則 發(fā)表回復

  

北京盛拓優(yōu)訊信息技術(shù)有限公司. 版權(quán)所有 京ICP備16024965號-6 北京市公安局海淀分局網(wǎng)監(jiān)中心備案編號:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年舉報專區(qū)
中國互聯(lián)網(wǎng)協(xié)會會員  聯(lián)系我們:huangweiwei@itpub.net
感謝所有關(guān)心和支持過ChinaUnix的朋友們 轉(zhuǎn)載本站內(nèi)容請注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP