Iptables防火墙访问控制设置方法

一、源站访问控制描述

源站访问控制是在源服务器上设置访问控制,只允许云防御IP访问,云防御和源站联动提高防护安全性的方法。

接入知道创宇云防御平台后,经过云防御的攻击知道创宇均会按防御级别拦截,但因源站 IP 在接入前已经暴露过,存在攻击者已经获取到源站 IP 可直接攻击源服务器的风险。因此知道创宇建议如有条件可在接入云防御后将源站服务器 IP 更换为未暴露过的IP地址,如果不具备变更源站 IP 条件,建议尽量设置访问控制,即仅允许云防御集群 IP 访问源站,最大程度保障源服务器的安全。

二、获取云防御集群IP

知道创宇云防御共有6242个节点集群,每个集群背后均有多台服务器作为支撑,根据节点性能负载情况,知道创宇云防御会不定期为您选择最优节点集群。获取云防御集群IP时可登录云防御控制台,点击购买的产品,下拉框中点击【功能管理】,选择【通用设置】,进入【查看节点IP】中获取。

三、配置指导

Iptabels 是与 Linux 内核集成的包过滤防火墙系统,几乎所有的 Linux 发行版本都会包含 Iptables 的功能。Iptabels 配置简单,推荐首选在 Iptabels 中配置。

1.配置示例:

假设 WEB 服务监听端口为 80,使用以下命令对 80 端口进行访问限制, 其他端口类似。

iptables -I INPUT -p tcp –dport 80 -j DROP

iptables -I INPUT -p tcp -s 1.1.1.0/24 -p tcp –-dport 80 -j ACCEPT

iptables -I INPUT -p tcp -s 2.2.2.0/24 -p tcp –-dport 80 -j ACCEPT

2.策略核实:执行 iptables -L -n 命令,检查策略是否设置成功。

3.验证策略是否生效:即仅ACCEPT的IP地址(云防御节点)可请求成功,其他地址均连接超时。

a.修改本地Host文件,指定域名解析到源站IP。

b.访问该域名时若出现以下报错则策略生效,若可正常访问网站则策略有误,建议核实配置情况。

四、其他服务器

1.常见服务器设置方法可参考:【IIS】、【Nginx】、【Tomcat】、【Apache】、【阿里云】、【腾讯云】。

2.除上述WEB 服务器和防火墙的其他设备建议参考厂商官方指导配置或联系厂商技术支持协助。