服務(wù)器端口怎么打開_系統(tǒng)端口安全配置

通過防火墻設(shè)置：

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都做網(wǎng)站、網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的江城網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

在電腦桌面依次點(diǎn)擊開始—控制面板。

在控制面板右上角找到查看方式，點(diǎn)擊下拉箭頭，選中大圖標(biāo)，然后在找到并點(diǎn)擊windows防火墻。

在打開的windows防火墻窗口左側(cè)找到并點(diǎn)擊高級(jí)設(shè)置。

在高級(jí)安全windows防火墻窗口左側(cè)選中入站規(guī)則，然后在最右側(cè)窗口中找到并點(diǎn)擊新建規(guī)則。

在新建入站規(guī)則向?qū)路竭x中端口，然后點(diǎn)擊下一步。

在這里請(qǐng)根據(jù)需要開放的端口所屬協(xié)議選中TCP或者UDP，然后選中特定本地端口，在其后輸入需要開放的端口號(hào)，最后點(diǎn)擊下一步。

由于這里我們是允許這個(gè)端口使用，所以選中允許連接，如果是拒絕這個(gè)端口使用，就選中阻止連接，然后點(diǎn)擊下一步。

這里有三種應(yīng)用規(guī)則，如果是內(nèi)網(wǎng)外網(wǎng)域都允許使用該端口，那么就全選，然后點(diǎn)擊下一步。

名稱隨便填寫，最好是填寫應(yīng)用該端口的服務(wù)或者應(yīng)用，下面描述請(qǐng)根據(jù)具體的應(yīng)用環(huán)境填寫，點(diǎn)擊完成即可。通過這個(gè)操作就可以在服務(wù)器中對(duì)各個(gè)端口進(jìn)行開放和阻止的管理。

centos7 服務(wù)器基本的安全設(shè)置步驟

關(guān)閉ping掃描，雖然沒什么卵用

先切換到root

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

1代表關(guān)閉

0代表開啟

用iptables

iptables -I INPUT -p icmp -j DROP

簡(jiǎn)單介紹下基本的 dedecms _aq/' target='_blank'安全設(shè)置

一、創(chuàng)建普通用戶，禁止root登錄，只允許普通用戶使用su命令切換到root

這樣做的好處是雙重密碼保護(hù)，黑客就算知道了普通用戶的密碼，如果沒有root密碼，對(duì)服務(wù)器上攻擊也比較有限

以下是具體做法(需要在root下)

添加普通用戶

useradd xxx

設(shè)置密碼

passwd xxx

這樣就創(chuàng)建好了一個(gè)普通用戶

禁止root登錄

vi /etc/ssh/sshd_config

PermitRootLogin no

Systemctl restart sshd

這樣就完成了第一步，之后root就無法登錄服務(wù)器只能通過普通用戶su切換

二、修改ssh的默認(rèn)端口22，因?yàn)閟sh的端口是22，我們?nèi)绻薷牧嗽摱丝?，他們就需要花費(fèi)一點(diǎn)時(shí)間來掃描，稍微增加了點(diǎn)難度

以下將端口改為51866可以根據(jù)需要自己更改，最好選擇10000-65535內(nèi)的端口

step1 修改/etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#Port 22 //這行去掉#號(hào)

Port 51866 //下面添加這一行

為什么不先刪除22，以防其他端口沒配置成功，而又把22的刪除了，無法再次進(jìn)入服務(wù)器

step2 修改SELinux

安裝semanage

$ yum provides semanage

$ yum -y install policycoreutils-python

使用以下命令查看當(dāng)前SElinux 允許的ssh端口：

semanage port -l | grep ssh

添加51866端口到 SELinux

semanage port -a -t ssh_port_t -p tcp 51866

注：操作不成功，可以參考：

失敗了話應(yīng)該是selinux沒有打開

然后確認(rèn)一下是否添加進(jìn)去

semanage port -l | grep ssh

如果成功會(huì)輸出

ssh_port_t tcp 51866, 22

step3 重啟ssh

systemctl restart sshd.service

查看下ssh是否監(jiān)聽51866端口

netstat -tuln

Step4 防火墻開放51866端口

firewall-cmd --permanent --zone=public --add-port=51866/tcp

firewall-cmd --reload

然后測(cè)試試試，能不能通過51866登錄，若能登錄進(jìn)來，說明成功，接著刪除22端口

vi /etc/ssh/sshd_config

刪除22端口 wq

systemctl restart sshd.service

同時(shí)防火墻也關(guān)閉22端口

firewall-cmd --permanent --zone=public --remove-port=22/tcp

注意如果是使用阿里的服務(wù)器需要到阿里里面的安全組添加新的入站規(guī)則(應(yīng)該是因?yàn)榘⒗锏姆?wù)器是用的內(nèi)網(wǎng)，需要做端口映射)

三、使用一些類似DenyHosts預(yù)防SSH暴力破解的軟件(不詳細(xì)介紹)

其實(shí)就是一個(gè)python腳本，查看非法的登錄，次數(shù)超過設(shè)置的次數(shù)自動(dòng)將ip加入黑名單。

四、使用云鎖(不詳細(xì)介紹)

參考自

總的來說做好了前兩步能夠減少至少百分之五十的入侵，在做好第三步之后，基本可以杜絕百分之八十以上的入侵。當(dāng)然最重要的還是自己要有安全意識(shí)，要多學(xué)習(xí)一些安全知識(shí)和linux的知識(shí)。

第三第四其中都有稍微提到一點(diǎn)，感興趣可以看看

公司要購(gòu)買云服務(wù)器，那么應(yīng)該如何選擇配置和安全設(shè)置

網(wǎng)絡(luò)時(shí)代回答您：

購(gòu)買服務(wù)器需要考慮的因素：

一、云服務(wù)器的環(huán)境

如果購(gòu)買的云服務(wù)器在主干節(jié)點(diǎn)上，它將比平均節(jié)點(diǎn)訪問速度快。

二、云服務(wù)器的硬件配置

一般來說，購(gòu)買云服務(wù)器的配置將直接影響服務(wù)器的響應(yīng)速度。云服務(wù)器的CPU數(shù)量，硬盤越大，內(nèi)存越大，處理器越好，云服務(wù)器運(yùn)行的速度就越快。

三、云服務(wù)器的帶寬大小

云服務(wù)器的帶寬將直接影響到網(wǎng)站訪問的速度。服務(wù)器帶寬越大，訪問速度越快。此外，當(dāng)帶寬小，訪客數(shù)量過多時(shí)，會(huì)出現(xiàn)紙箱現(xiàn)象。

H3C交換機(jī)端口安全模式配置

H3C交換機(jī)端口安全模式配置

用戶網(wǎng)絡(luò)訪問控制是我們?cè)谶M(jìn)行網(wǎng)絡(luò)管理和網(wǎng)絡(luò)設(shè)備配置時(shí)經(jīng)常要用到一項(xiàng)網(wǎng)絡(luò)技術(shù)應(yīng)用。其實(shí)在用戶的網(wǎng)絡(luò)訪問控制方面，最直接、最簡(jiǎn)單的方法就是配置基于端口的安全模式，不僅Cisco交換機(jī)如此，H3C交換機(jī)也有類似的功能，而且看起來功能更加強(qiáng)大。下面跟我一起來學(xué)習(xí)一下H3C以太網(wǎng)交換機(jī)端口安全模式配置方法！

在H3C以太網(wǎng)交換機(jī)上可配置的端口安全模式總體來說是可分為兩大類：控制MAC地址學(xué)習(xí)類和認(rèn)證類?？刂芃AC地址學(xué)習(xí)類無需對(duì)接入用戶進(jìn)行認(rèn)證，但是可以允許或者禁止自動(dòng)學(xué)習(xí)指定用戶MAC地址，也就是允許或者禁止把對(duì)應(yīng)MAC地址添加到本地交換機(jī)的MAC地址表中，通過這種方法就可以實(shí)現(xiàn)用戶網(wǎng)絡(luò)訪問的控制。認(rèn)證類則是利用MAC地址認(rèn)證或IEEE 802.1X認(rèn)證機(jī)制，或者同時(shí)結(jié)合這兩種認(rèn)證來實(shí)現(xiàn)對(duì)接入用戶的網(wǎng)絡(luò)訪問控制。

配置了安全模式的H3C以太網(wǎng)交換機(jī)端口，在收到用戶發(fā)送數(shù)據(jù)報(bào)文后，首先在本地MAC地址表中查找對(duì)應(yīng)用戶的MAC地址。如果該報(bào)文的源MAC地址已經(jīng)在本地交換機(jī)中的MAC地址表中則直接轉(zhuǎn)發(fā)該報(bào)文，否則根據(jù)端口所在安全模式進(jìn)行相應(yīng)的處理，并在發(fā)現(xiàn)非法報(bào)文后觸發(fā)端口執(zhí)行相應(yīng)的安全防護(hù)特性。

在H3C以太網(wǎng)交換機(jī)中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式與secure模式

在autoLearn(自動(dòng)學(xué)習(xí))端口安全模式下，可通過手工配置，或動(dòng)態(tài)學(xué)習(xí)MAC地址，此時(shí)得到的MAC地址稱為Secure MAC(安全MAC地址)。在這種模式下，只有源MAC為Secure MAC的報(bào)文才能通過該端口;但在端口下的Secure MAC地址表項(xiàng)數(shù)超過端口允許學(xué)習(xí)的最大安全MAC地址數(shù)后，該端口也不會(huì)再添加新的Secure MAC，并且端口會(huì)自動(dòng)轉(zhuǎn)變?yōu)镾ecure模式。

如果直接將端口安全模式設(shè)置為Secure模式，則將立即禁止端口學(xué)習(xí)新的MAC地址，只有源MAC地址是原來已在交換機(jī)上靜態(tài)配置，或者已動(dòng)態(tài)學(xué)習(xí)到的MAC地址的報(bào)文才能通過該端口轉(zhuǎn)發(fā)。

根據(jù)以上描述，可以得出在autoLearn和secure模式下報(bào)文處理流程如圖19-1所示。

圖19-1 autoLearn和secure端口安全模式報(bào)文處理流程圖

2. 單一IEEE 802.1X認(rèn)證模式

采用單一IEEE 802.1x認(rèn)證方式的端口安全模式又包括以下幾種：

l userlogin：對(duì)接入用戶采用基于端口的IEEE 802.1x認(rèn)證，僅允許通過認(rèn)證的用戶接入。

l userLoginSecure：對(duì)接入用戶采用基于用戶MAC地址的IEEE 802.1x認(rèn)證(也就是Cisco IOS交換機(jī)中所說的MAB)。僅接收源MAC地址為交換機(jī)的MAC地址的數(shù)據(jù)包，但也僅允許802.1x認(rèn)證成功的用戶數(shù)據(jù)報(bào)文通過。此模式下，端口最多只允許接入一個(gè)經(jīng)過802.1x認(rèn)證的用戶(即IEEE 802.1X單主機(jī)模式)。

l userLoginSecureExt：與userLoginSecure類似，但端口下的802.1x認(rèn)證用戶可以有多個(gè)(即IEEE 802.1X多主機(jī)模式)。

l userLoginWithOUI：與userLoginSecure類似，端口最多只允許一個(gè)802.1x認(rèn)證用戶，但該用戶的數(shù)據(jù)包中還必須包含一個(gè)允許的OUI(組織唯一標(biāo)志符)。

因?yàn)镠3C以太網(wǎng)交換機(jī)的IEEE 802.1X認(rèn)證將在本書第21章專門介紹，故在此不再贅述。

3. MAC地址認(rèn)證模式

MAC地址認(rèn)證安全模式即macAddressWithRadius模式。MAC地址認(rèn)證是一種基于端口和用戶MAC地址的網(wǎng)絡(luò)訪問控制方法，它不需要用戶安裝任何客戶端軟件。交換機(jī)在啟用了MAC地址認(rèn)證的端口上首次檢測(cè)到用戶的MAC地址以后，即啟動(dòng)對(duì)該用戶的認(rèn)證操作。認(rèn)證過程中，不需要用戶手動(dòng)輸入用戶名或者密碼，因?yàn)檫@是基于用戶MAC地址進(jìn)行的認(rèn)證。如果該用戶認(rèn)證成功，則允許其通過端口訪問網(wǎng)絡(luò)資源，否則該用戶的MAC地址就被添加為“靜默MAC”。在靜默時(shí)間內(nèi)(可通過靜默定時(shí)器配置)，來自此MAC地址的用戶報(bào)文到達(dá)時(shí)直接做丟棄處理，以防止非法MAC短時(shí)間內(nèi)的重復(fù)認(rèn)證。

目前H3C以太網(wǎng)交換機(jī)支持“本地認(rèn)證”和“RADIUS遠(yuǎn)程認(rèn)證”這兩種MAC地址認(rèn)證方式。有關(guān)H3C以太網(wǎng)交換機(jī)的RADIUS服務(wù)器認(rèn)證配置方法將在本書第20章專門介紹;有關(guān)MAC地址認(rèn)證的配置方法將在本章19.5節(jié)介紹。

4. and模式

“and”是“和”的意思，就是要求同時(shí)滿足所有的條件。and端口安全模式包括以下兩種子模式：

l macAddressAndUserLoginSecure：當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時(shí)，接入用戶首先進(jìn)行MAC地址認(rèn)證，當(dāng)MAC地址認(rèn)證成功后再進(jìn)行IEEE 802.1x認(rèn)證。只有在這兩種認(rèn)證都成功的`情況下，才允許該用戶接入網(wǎng)絡(luò)。此模式下，端口最多只允許一個(gè)用戶接入網(wǎng)絡(luò)，也就是最先通過全部這兩種認(rèn)證的用戶。

l macAddressAndUserLoginSecureExt：與macAddressAndUserLoginSecure類似。但此模式下，端口允許接入網(wǎng)絡(luò)的用戶可以有多個(gè)。

根據(jù)以上描述得出以上這兩種and端口安全子模式的報(bào)文處理流程如圖19-2所示。

圖19-2 and端口安全模式的報(bào)文處理流程圖

5. else模式

“else”是“另外”的意思，就是一種認(rèn)證通不過后還可以嘗試其它的認(rèn)證方式。else端口安全模式包括以下兩個(gè)子模式：

l macAddressElseUserLoginSecure：當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時(shí)，對(duì)接入用戶首先進(jìn)行MAC地址認(rèn)證，如果認(rèn)證成功則直接通過，如果MAC地址認(rèn)證失敗再嘗試進(jìn)行802.1x認(rèn)證。此模式下，端口下可以有多個(gè)用戶通過MAC地址認(rèn)證，但端口僅允許接入一個(gè)用戶經(jīng)過802.1x認(rèn)證，也就是最先通過802.1x認(rèn)證的用戶。

l macAddressElseUserLoginSecureExt：與macAddressElseUserLoginSecure類似。但此模式下，端口允許經(jīng)過多個(gè)用戶通過IEEE 802.1X認(rèn)證。

根據(jù)以上描述得出以上這兩種else端口安全子模式的報(bào)文處理流程如圖19-3所示。

圖19-3 else端口安全模式報(bào)文處理流程圖

6. or模式

“or”是“或者”的意思，也就是可以任選其中一種認(rèn)證方式。or端口安全模式包括以下兩個(gè)子模式：

l macAddressOrUserLoginSecure：當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時(shí)，接入用戶通過MAC地址認(rèn)證后，仍然可以進(jìn)行IEEE 802.1x認(rèn)證;但接入用戶通過IEEE 802.1x認(rèn)證后，不再進(jìn)行MAC地址認(rèn)證。此模式下，可以有多個(gè)經(jīng)過基于MAC地址認(rèn)證的用戶，但端口僅允許接入一個(gè)經(jīng)過認(rèn)證的802.1x用戶，也就是最先通過802.1x認(rèn)證的用戶。

l macAddressOrUserLoginSecureExt：與macAddressOrUserLoginSecure類似。但此模式下可以允許多個(gè)通過IEEE 802.1x認(rèn)證的用戶。

根據(jù)以上描述得出以上這兩種or端口安全子模式的報(bào)文處理流程如圖19-4所示。

圖19-4 or端口安全模式報(bào)文處理流程圖

;