它是擋 port,還有過濾 TCP 三段式交握偽造的旗標
但是對於標準 port 比如 80(http)、443(https)、21(ftp)、23(SSH)、53(dns).... 之類的,有開放的,是不會擋的。
不開放的話,是連接都不能連。所以一定會開放。
而如果 service軟體 有漏洞,或者應用程式有漏洞,一樣會被入侵。
舉例比如:
開放 80 port,駭客就一定可從 80 進去,如果 apache 這軟體本身有漏洞,就會被入侵。所以軟體要時常更新,尤其是修補漏洞的安全性更新。
即使 apache 沒漏洞,也有可能因為權限設定錯誤,或者 php 應用程式寫的不好,有漏洞被網頁注入攻擊什麼的。還是被入侵。
named (bind、dns)也很容易被入侵,所以有一種 chroot 的技術功能,虛擬一個 root 環境給 named 跑,就算被入侵,入侵者也困在那個虛擬的環境中,偷不到任何東西。
總之,並不是裝一台防火牆,就可以高枕無憂了,很多方面都要顧慮到。無論那是一台幾十萬元還幾百萬元的防火牆,其原理都是一樣的。
目前並沒有 AI 人工智能的防火牆,能分辨進入的封包是善意還惡意的。
價錢貴與便宜的,差別只是處理器性能、硬體規格,每秒能處理多少連線數,而用途和所作的事情,是完全一樣的。
擋 port,Linux 內建的防火牆就辦得到的,不一定要打指令,有 GUI 圖形界面的設定輔助軟體,滑鼠點一點就行了。
舉例比如:Firestarter、Gufw....之類的,有很多。
Linux 看用什麼發行版的,大部分應該都有內建,或用線上更新 yum、apt 之類的,裝一下軟體套件。
過濾 TCP 三段式交握偽造旗標(阻止 DoS 洪水攻擊),也是 Linux 內建防火牆就能辦到,但需要寫 iptables 腳本。
iptables 的 GUI 圖形輔助軟體,功能都比較少,只有基本的設定(port、IP黑名單..那些),要進階的,過濾旗標、給封包貼標籤、重新導向路由...什麼的,需要寫腳本。
其實把主機擺在 IP分享器(或路由器)後端,藉由轉埠的方式進去,就能抵擋大部分攻擊了。
伺服器主機不要直接對外,用 Private IP (192.168.那種的),不要用 Public IP。
不過以上這樣都不是絕對安全的,只是相對安全點而已。
如果連接的 server 是固定的,建議鎖 IP 或 開 VPN 吧。
非來自那個 IP 的封包,全部丟棄。(白名單模式,只允許白名單上的IP才能連入)
更進階,使用 VPN 加密通道(需要 VPN 的網路設備)
※ Linux 其實內建也可以開 VPN Server啦,不過有一點難度。
VPN 需要登入才能連線,多一層安全把關。
加密可防:封包中途被攔截。
明碼傳輸的內容,如果被攔截到就會被看光
加密的內容,就算被攔截,那個人打開也會全亂碼,需要解密才能獲知內容,以目前加密的位元數來說,解密幾乎是不可能的。
此外防火牆(硬體或軟體),不能只防外面的,有道是:內賊難防。
對內區網的也要防。
因為內部電腦有可能中病毒木馬什麼的,成為跳板。只防外面的話,對內部區網的攻擊,就無招架之力了。
內文搜尋
從 APP 打開
X