防御攻击者和未授权访问服务器的第一层次是防火墙。防火墙能分析服务器上的网络通信，并决定应该允许哪些通信通过或应该停止哪些通信。

防火墙怎样工作？

防火墙的决策通常是由网络连接本身的信息驱动的，而不是由所发送的数据内容驱动的。因素可能包括通信正在经过哪个网络设备（如果计算机/服务器中有多个设备），计算机发送或接收数据的IP地址以及发送或接收数据的传输协议和端口。

尽管其中大多数都是不言而喻的，但协议和端口通常会让人感到困惑。协议被定义为标准，由两台计算机将数据传输到数据包中，并将数据发送给彼此，以便双方都能理解并能够读取所发送的数据。最常使用的协议是传输控制协议（TCP）和用户数据报协议（UDP）。端口是操作系统的网络软件所使用的数字，用来识别通过网络上接收到的任何数据应该给予哪一部分的软件。当需要在网络上进行通信的软件运行时，它将请求使用网络软件中的端口号，然后将任何接收到的数据发送给该软件。

标准端口和协议

一些软件使用预先定义的标准端口和协议。这使得交流变得更加容易，因为用户不需要担心这些细节。例如，web服务器技术人员通常会监听TCP端口80来接收HTTP通信。他们还使用TCP端口443来进行HTTPS通信。这种行为通常由连续运行的服务器软件所使用。客户端软件，如计算机上的web浏览器，将对其进行的每一个连接都使用一个随机的端口。

防火墙通常可以配置多种规则，它的通信可以与上面给出的选项相匹配，然后被告知该如何处理该匹配，即是否允许通信或阻断通信。通过使用这些规则，我们可以限制谁能够与我们服务器上的各种网络支持的软件进行通信。

常规配置指南

对于服务器防火墙配置，我们通常建议使用以下指南：

为入站通信设置默认规则或策略以阻止所有的传入通信量。

为您希望从internet上访问的服务设置单独的防火墙规则，并为已建立的出站连接返通信量。

例如，您可以通过web服务器访问TCP端口80和443。您应该避免进一步开放访问权限，因为这样可以减少某些人对您服务器的不同攻击次数。我们特别建议，像Linux的SSH和Windows服务器的RDP等可能的管理软件只能从特定的IP而不是所有IP都能访问，因为这是一些最受攻击的软件。如果您真的必须启用这些服务，我们建议您使用诸如Linux上的Denyhosts之类的工具，或者在Windows上使用类似的工具，以防止成功的暴力攻击尝试。

额外防御

除了需要在新服务器的安装上执行的手动防火墙配置之外，还有一些工具，如Fall2Ban，它们能够自动添加防火墙规则，以便在IP地址上执行似乎正在对服务器进行攻击的额外块。这些工具可以帮助确保您需要保留的对internet开放的服务是安全的。

就保护服务器而言，确保攻击者无法与服务器通信是保持安全的最佳方式。除了将您的服务器与internet断开连接之外，彻底的防火墙策略是实现安全性的最佳方式。

本文由网时整理发布，原文http://www.abcde.cn/newscontent/20180117-ats.html