一、Iptables防火牆並不能阻止DDOS***,建議在專案實施中採購硬體防火牆,置於整個系統之前,用於防DDOS***和埠對映;如果對安全有特殊要求,可再加上應用層級的防火牆,比如天泰防火牆,其功能強大如此:①天泰WEB應用防火牆基於對資料包文頭部和載荷完整的檢測,對WEB應用客戶端輸入進行驗證,從而對各類已知的及新興的WEB應用威脅提供全方位的防護,如SQL隱碼攻擊、跨站指令碼、蠕蟲、***掃描和***等;②天泰WEB應用防火牆提供對目前國內比較氾濫的DDOS***的防護。針對WEB應用進行的頻寬和資源耗盡型DDOS***,都可輕鬆應對。尤其針對應用層的DDOS***,提供細粒度的防護,其它優點這裡不一一介紹了。
二、在專案實施中建議關閉Linux伺服器的iptables防火牆或FreeBSD的ipfw,目的為:①更好的提高後端伺服器網路效能;②方便資料流在整個業務系統內部流通,安全方面工作由硬體防火牆來承擔。
三、我目前主要將iptables用於內部作NAT防火牆,它的效能和方便管理性確實強悍,經迅雷測試可發現,公司內部的10M頻寬能被利用得一絲無餘;武漢地區比較常用的軟體路由器是海蜘蛛,這個其實也是iptables的二次開發;前二年替朋友網咖佈署網咖的路由器,我強烈推薦的是讓iptables作NAT路由轉發,事實證明效果很好。
四、iptables的L是命令,而-v和-n只是作為選項,它們不能進行組合,如-Lvn;如果要列出防火牆詳細規則,可採用iptables -nv -L;
五、如果是使用遠端來除錯iptables防火牆,最好是設定crontab作業是定時停止防火牆,以防自己被鎖定,5分鐘停止一次iptables即可,等整個指令碼完全穩定後再關閉此crontab作業。
六、如果使用預設禁止一切策略,即應立即使用迴環介面lo(因為禁止一切包括了lo);附註:迴環介面lo在Linux系統中被用來提供本地、基於網路的服務的專用網路介面,不用把本地資料流通過網路介面驅動器傳送,而是採用作業系統通過迴環介面傳送,採取的捷徑,大大提高了效能。
七、如果是電信或雙線機房託管的伺服器,在沒有配置前端硬體防火牆的情況下,Linux主機一定要開啟iptables防火牆,windows2003主機開啟它自帶的系統防火牆,並禁ping。
八、如果項格價格能承受的話,最前端的硬體防火牆應該也要作為雙機冗餘,防止單防火牆出問題會導致整個網站crash,防火牆跟人一樣,總有頂不住壓力的時候;如果有雙機的話,網站出問題的機率要小許多。