Linux サーバーを侵入から保護するファイアウォールを構成する方法
はじめに:
今日のインターネット環境では、サーバーはさまざまな潜在的なセキュリティ脅威に直面しています。 Linux サーバーを侵入から保護するには、強力なファイアウォールを構成することが重要です。この記事では、iptables コマンドを使用して Linux サーバー上でファイアウォールを構成する方法を紹介し、一般的なルールの例をいくつか示します。
iptables とは何ですか?
iptables は、Linux オペレーティング システムでネットワーク アクセス ルールを構成するために使用されるツールです。これは、管理者がルールを定義してネットワーク トラフィックを制限できる強力なファイアウォール ソリューションです。 iptables を使用すると、サーバーに出入りするパケットのフローを制御できるため、サーバーのセキュリティが強化されます。
ファイアウォールを構成する手順は次のとおりです:
ポリシーを定義します:
特定のルールを設定する前に、まずデフォルトのポリシーを決定する必要があります。デフォルトのポリシーは、一致するルールが見つからない場合のアクションを決定します。一般に、最小認可の原則を採用する必要があります。つまり、デフォルトですべてのトラフィックを拒否し、特定のトラフィックのみの通過を許可します。次の例では、すべての受信トラフィックと送信トラフィックを拒否するデフォルト ポリシーを設定します。
sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT DROP
SSH 接続を許可する (ポート 22 を使用):
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
HTTP 接続を許可する (ポート 80 を使用)ポート):
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
HTTPS 接続を許可する (ポート 443 を使用):
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
ping (ICMP) を許可する:
sudo iptables -A INPUT -p icmp -j ACCEPT
ループバック トラフィックを許可する:
sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT
DDoS 攻撃を防止する:
DDoS (分散型サービス妨害) 攻撃は、一般的な A ネットワークです。ターゲットサーバーに過負荷をかけ、通常のサービスの提供を妨げることを目的とした攻撃。ファイアウォールの重要な機能は、1 秒あたりに受信する接続数を制限することで DDoS 攻撃を防ぐことです。次の例では、最大接続数を 20 に制限しています。
sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 20 -j DROP
ログ:
潜在的な問題を検出して対応するには、トラフィックとイベントをログに記録するようにファイアウォールを構成することが重要です。タイミングよく攻撃する。次のルールを使用して、ファイアウォール ログをシステム ログ ファイルに記録できます:
sudo iptables -A INPUT -j LOG --log-prefix "Firewall: " sudo iptables -A OUTPUT -j LOG --log-prefix "Firewall: " sudo iptables -A FORWARD -j LOG --log-prefix "Firewall: "
永続ルール:
上記の構成を完了した後、ファイアウォール ルールを保存して再起動する必要があります。サーバーは後で自動的にロードされます。ファイアウォール構成は、次のコマンドを使用して保存できます。
sudo iptables-save > /etc/iptables/rules.v4
結論:
ファイアウォールを構成し、適切なルールを定義することで、Linux サーバーを侵入から保護できます。この記事では、ファイアウォール設定に iptables コマンドを使用する方法を説明し、いくつかの一般的なルールの例を示します。ただし、サーバーのセキュリティは継続的なプロセスであるため、変化するセキュリティの脅威に適応するためにファイアウォール ルールを定期的に確認して更新することをお勧めします。
以上がLinux サーバーを侵入から保護するためにファイアウォールを構成する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。