百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

如何配置防火墙规则以阻止恶意流量和DDoS攻击

nanshan 2025-07-08 21:42 4 浏览 0 评论

防火墙是保护服务器和网络安全的第一道防线,通过配置规则,可以有效过滤恶意流量、减轻 DDoS 攻击的影响,并防止未经授权的访问。本文将详细介绍如何配置防火墙规则以阻止恶意流量和应对 DDoS 攻击。


1. 防火墙的作用与基本概念

1.1 防火墙的作用

  • 阻止恶意流量:根据 IP 地址、端口号和协议过滤可疑流量。
  • 限制访问范围:只允许可信任的 IP、端口和服务访问服务器。
  • 减轻 DDoS 攻击:通过速率限制、黑名单等机制控制异常流量。
  • 保护敏感服务:隐藏或限制对服务器敏感端口的访问。

1.2 防火墙的常用工具

  • UFW(Uncomplicated Firewall):适用于 Ubuntu 和 Debian,简单易用。
  • iptables:功能强大的 Linux 防火墙工具,支持自定义规则。
  • firewalld:默认用于 CentOS/RHEL,支持动态规则管理。
  • 云防火墙:如 AWS Security Groups、阿里云安全组,适合云环境。

2. 配置防火墙规则以阻止恶意流量

2.1 基本规则:只允许必要的访问

  • 默认策略:阻止所有流量,只允许特定的端口和服务。
  • 示例:允许 SSH、HTTP 和 HTTPS 访问,禁止其他流量。

UFW 配置

bash

复制

sudo ufw default deny incoming  # 默认拒绝所有入站流量
sudo ufw default allow outgoing  # 默认允许所有出站流量

sudo ufw allow ssh  # 允许 SSH (默认端口 22)
sudo ufw allow http  # 允许 HTTP (默认端口 80)
sudo ufw allow https  # 允许 HTTPS (默认端口 443)

sudo ufw enable  # 启用防火墙

iptables 配置

bash

复制

# 默认策略
sudo iptables -P INPUT DROP  # 默认拒绝所有入站流量
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT  # 默认允许所有出站流量

# 允许 SSH、HTTP、HTTPS
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许本地回环(必要)
sudo iptables -A INPUT -i lo -j ACCEPT

2.2 阻止恶意 IP 地址

  • 使用黑名单机制阻止特定的恶意 IP 或 IP 段。
  • 示例:阻止 IP 192.168.1.100 和 IP 段 192.168.2.0/24。

UFW 配置

bash

复制

sudo ufw deny from 192.168.1.100  # 阻止单个 IP
sudo ufw deny from 192.168.2.0/24  # 阻止 IP 段

iptables 配置

bash

复制

sudo iptables -A INPUT -s 192.168.1.100 -j DROP  # 阻止单个 IP
sudo iptables -A INPUT -s 192.168.2.0/24 -j DROP  # 阻止 IP 段

2.3 限制访问速率

  • 防止暴力破解或频繁访问导致资源耗尽。
  • 示例:限制同一 IP 每秒只能发起 5 个连接。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

2.4 阻止 Ping 洪水攻击

  • Ping 洪水攻击通过大量 ICMP Echo 请求耗尽带宽资源。
  • 示例:限制 Ping 请求的频率。

iptables 配置

bash

复制

sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/sec -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

3. 配置防火墙规则以减轻 DDoS 攻击

3.1 使用连接跟踪限制连接数

  • 限制单个 IP 的并发连接数,防止单个攻击源占用所有资源。
  • 示例:限制每个 IP 最大并发连接数为 10。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

3.2 阻止空连接

  • 空连接是没有任何标志位的 TCP 数据包,常用于探测服务器端口。
  • 示例:直接丢弃空连接。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

3.3 阻止 SYN Flood 攻击

  • SYN Flood 利用半开连接耗尽服务器资源。
  • 示例:限制每秒允许的 SYN 包数量。

iptables 配置

bash

复制

sudo iptables -A INPUT -p tcp --syn -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --syn -j DROP

3.4 使用 IP 黑洞路由

  • 对于大规模 DDoS 攻击,可以将恶意流量直接丢弃。
  • 示例:将目标 IP 地址的流量路由到黑洞。

Linux 配置

bash

复制

sudo ip route add blackhole 192.168.1.100

4. 使用高级工具和外部服务

4.1 Fail2Ban

  • 用途:自动检测并阻止暴力破解攻击。
  • 安装
  • bash
  • 复制
  • sudo apt install fail2ban
  • 配置: 编辑 /etc/fail2ban/jail.local,添加规则:
  • ini
  • 复制
  • [sshd] enabled = true port = 22 filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 3600

4.2 Cloudflare DDoS 防护

  • 用途:通过 CDN 和 Web 应用防火墙(WAF)过滤恶意流量。
  • 设置步骤: 注册 Cloudflare 并添加域名。 启用 DDoS 防护和 WAF。 配置防护规则(如限制访问频率)。

4.3 使用硬件防火墙或高防服务器

  • 硬件防火墙:如 Cisco ASA、Palo Alto 等。
  • 高防服务器:提供 DDoS 清洗服务,适合应对大规模攻击。

5. 验证和优化防火墙配置

5.1 验证防火墙规则

  • 检查规则是否生效: UFW:
  • bash
  • 复制
  • sudo ufw status
  • iptables:
  • bash
  • 复制
  • sudo iptables -L -n -v

5.2 定期优化规则

  • 检查是否有冗余或无效规则。
  • 根据业务需求调整速率限制和黑名单。

6. 总结

通过合理配置防火墙规则,可以显著提升服务器的安全性,防止恶意流量和 DDoS 攻击的侵害。以下是关键措施:

  1. 默认拒绝所有流量,只允许必要的端口和服务。
  2. 阻止恶意 IP 和 IP 段,减少攻击来源。
  3. 设置速率限制,防止暴力破解和频繁访问。
  4. 使用 Fail2Ban 和 Cloudflare 等工具,进一步增强防护能力。

定期监控和更新防火墙规则,结合其他安全措施(如 WAF、防护设备),可以为服务器构建更坚固的安全屏障。

相关推荐

人人视频崩了怎么回事 人人视频下架了吗为什么刷不出来了

[海峡网]人人视频挂了吗下架了吗人人视频崩了怎么回事刷不出来了?人人视频发生了什么?怎么都看不成了,暂时还是永久?本来还以为是手机的问题,原来是客户端崩了难怪一直显示服务器异常!追着的美剧突然都下架...

502 bad gateway怎么解决?(502 bad gatewaynginxundefined)

相信许多小伙伴都遇到打开的网页提示502badgateway,502badgateway是提示用户该网址的网关错误,Web服务器作为网关或代理服务器时收到无效的响应,不管怎么刷新怎么重新输入地...

2岁男童眼睛被滴入强酸药水,医生亲身“试”药吓坏了……

平日里,小孩子爱玩爱闹是常事儿,但是大人的注意力如果时不时的掉线可就麻烦了。这一天,杭师大附院眼科陈舒主任医师像往常一样在接诊病人,然而一个孩子的哭闹声引起了她的注意,一群人神情焦灼,簇拥着一个孩子急...

3岁男童误将502胶当滴眼液,幸好妈妈及时处理,医生也为她点赞

小孩子由于心智还不够成熟,因此往往会做出一些危险的事情,甚至对自己造成伤害,这就需要家长的监督和保护。巧也不巧,日常生活中能够对孩子造成威胁的东西实在是太多了,堪称数不胜数,水笔、筷子、桌角,甚至刚拖...

5岁娃把502胶当眼药水滴眼中,爸爸的做法很机智,医生都称赞

文|哑铃妈妈家里有小孩子的一定要注意,在我们的家里存在很多的安全隐患,有的时候连家长都想不到的东西,竟然对孩子带来了伤害。5岁娃把502胶当眼药水滴眼中,爸爸的做法很机智,医生都点赞女孩乐乐长得可爱,...

宝宝误食502胶水,连忙送医救治,医生却夸宝妈做得好

有了孩子之后,妈妈都会变得神经敏感,生怕自己没有把孩子照顾好,但是毕竟一个人的经历是有限的,再加上孩子要是会走路,会说话之后对宝妈来说更是一种挑战,危及可能无时无刻不存在,这不,因为宝妈一转身的功夫,...

记一次Netty「直接内存溢出」导致线上网关项目宕机排查过程

作为一名Java开发者,我们都知道Java进程是运行在Java虚拟机上的,而Java进程要想正常运行则需要向计算机申请内存,其中主要为Java对象实例所占用的堆(heap)内存(当然还有其他的也会占用...

刚刚,突然崩了!网易云音乐紧急回应

今天下午#网易云音乐崩了#登上微博热搜第一在社交平台上,不少网友反馈,网易云音乐疑似崩溃。网友晒出网页端出现“502BadGateway”的服务器错误,同时网易云音乐的移动应用程序也无法正常使用。...

常见状态码(常见的状态码)

一二三四五原则:(即一:消息系列;二:成功系列;三:重定向系列;四:请求错误系列;五:服务器端错误系列。301状态码是永久移动302是临时移动304如果请求头中带有If-None-Match...

8岁男孩眼睛溅入502胶水,妈妈一番操作结果粘得更紧了

家有小孩的爸妈们肯定会多留个心眼照看虽然生活中已经时刻留意可能造成伤害的物品但有时一不留神幼小的孩子就会做出让人担心的事↓↓↓家住深圳的辰辰(化名)今年8岁了3月31日他在家里做手工时想要用未开封的5...

3岁娃滴502胶水在眼睛疼的尖叫,宝妈急中生智,保住孩子眼睛

但还好宝妈急中生智,连忙将孩子带到水龙头处,用水给孩子冲洗了一下眼睛,还用大量的生理盐水来给孩子清洗眼球,之后又立马将孩子送往医院,最后孩子的眼睛也没有什么大碍,拿了点药就能顺利出院了。而502胶水这...

网易云音乐回应App崩了:故障已陆续修复,补偿7天会员

2024年8月19日下午,多名网友反馈称,网易云音乐服务器疑似出现故障,登录网易云音乐APP后发现,个性化推荐和搜索功能均无法使用,并收到“获取数据失败”的提示。此外,网易云音乐的网页端也显示502错...

又崩了!不少人直接傻眼:太离谱!(台湾人到大陆后傻眼)

造车新势力哪吒汽车再被推向舆论风口。5月4日,话题#曝哪吒汽车APP断网#冲上微博热搜App断网无法使用从5月2日开始,陆续有多位网友反映哪吒汽车App断网,App控车无法使用。哪吒汽车App目前出现...

男子误把502胶水当眼药水!千万别犯这种低级错误!

你敢相信吗?有人竟然误把五零二胶水当成了眼药水滴进眼睛里。这可不是什么玩笑话,而是近日发生在武汉的一起真实事件。一名男子因此导致眼角膜严重受损,不得不紧急就医。据武汉大学附属爱尔眼科医院报道,这名男子...

502入眼危机!这份急救指南请牢记(502进入眼中怎么办)

502入眼,真实案例触目惊心生活中,502胶水是常用的黏合剂,以其强力黏合性备受青睐。但它一旦进入眼睛,后果不堪设想,下面这些真实案例,足以让我们警醒。曾有这样一则新闻,一位4岁女童在家玩耍时...

取消回复欢迎 发表评论: