|
1、什麼是IP地址?什麼是域名解析? IP地址就是給每個連接在Internet上的主機分配的一個32bit地址,是互聯網中各個服務器在網絡中的地址。為了簡單好記,採用域名來代替IP地址表示站點地址。 域名解析是把域名指向網站空間IP,讓人們通過註冊的域名可以方便地訪問到網站一種服務。IP地址是網絡上標識站點的數字地址,為方便記憶,採用域名來代替IP地址標識站點地址。域名解析就是域名到IP地址的轉換過程。
2、什麼是BGP? BGP(邊界網關協議)主要用於互聯網AS(自治系統)之間的互聯,BGP的最主要功能在於控制路由的傳播和選擇最好的路徑。使用此方案來實現單IP多線需要在CNNIC(中國互聯網信息中心)申請自己的IP地址段和AS號,再通過BGP協議將此段IP地址廣播到電信、聯通、移動等其它的運營商,使用BGP協議互聯後,各運營商路由設備將會判斷到機房IP段的最佳路由,以保證電信、聯通、移動、教育網等用戶的高速訪問。 使用BGP協議方案的3個優點: 服務器只需要設置一個IP地址,最佳訪問路徑是由網絡上的路由器根據路由跳數與其它技術指標來確定的,不會佔用服務器的任何系統資源。服務器的上行路由與下行路由都能選擇最優的路徑,所以能真正實現高速的單IP多線訪問。 由於BGP協議本身俱有冗餘備份、消除環路的特點,所以當IDC服務商有多條BGP互聯線路時可以實現路由的相互備份,在一條線路出現故障時路由會自動切換到其它線路。 使用BGP協議還可以使網絡具有很強的擴展性可以將IDC網絡與其他運營商互聯,輕鬆實現單IP多線路,做到所有互聯運營商的用戶訪問都很快。這個是雙IP雙線無法比擬的。
3、亞洲雲海能夠屏蔽國外IP嗎? 亞洲雲海各節點防火牆針對常見攻擊源IP不定期更新黑白名單。如果您有特定屏蔽需求,可在服務器內系統防火牆上進行設置。當確定某IP為攻擊源時,可提交網絡類工單申請更新硬防黑白名單。 4、關於異常IP的處理規則 一、華東、華中、華北、東北、華南、香港大區黑洞規則超過默認防禦峰值自動進入黑洞,默認黑洞時長為30分鐘;如果攻擊一直持續,黑洞時間會延長。 二、其他異常IP經用戶授權後,由亞洲雲海運維人員查出服務器內進行任何違規、破壞或試圖破壞網絡安全的行為(包括但不限於私服,釣魚,黑客,網絡詐騙,網站或空間中含有或涉嫌散播:病毒、木馬、惡意代碼、挖礦,及通過虛擬服務器對其他網站、服務器進行涉嫌攻擊行為如掃描、嗅探、ARP欺騙、DDoS等),存儲、發布、傳播違反國家、地方法律法規、行業慣例和社會公共道德的信息,亞洲雲海有權回收資源並處以相應懲罰。 為確保良好的網絡環境,以上異常服務器,將在獲得用戶授權後進行服務器內容審核。查出違規內容,將嚴格處理,必要時將上報網安。更多關於違規內容的定義,請參考亞洲雲海 服務協議!
5、Linux禁Ping設置 1. 臨時允許PING操作的命令為echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all 2. 永久允許PING配置方法。/etc/sysctl.conf 中增加一行 net.ipv4.icmp_echo_ignore_all=1 如果已經有net.ipv4.icmp_echo_ignore_all這一行了,直接修改=號後面的值即可的(0表示允許,1表示禁止)。 修改完成後執行sysctl -p使新配置生效。
6、CentOS7 防火牆Firewalld
啟動FirewallD服務: systemctl enable firewalld.service #設置開機啟動 systemctl start firewalld.service #開啟服務 查看防火牆狀態: systemctl status firewalld 1. 區域管理1.1. 網絡區域簡介通過將網絡劃分成不同的區域,制定出不同區域之間的訪問控制策略來控制不同程序區域間傳送的數據流。例如,互聯網是不可信任的區域,而內部網絡是高度信任的區域。網絡安全模型可以在安裝,初次啟動和首次建立網絡連接時選擇初始化。該模型描述了主機所連接的整個網絡環境的可信級別,並定義了新連接的處理方式。有如下幾種不同的初始化區域: 阻塞區域(block):任何傳入的網絡數據包都將被阻止。 工作區域(work):相信網絡上的其他計算機,不會損害你的計算機。 家庭區域(home):相信網絡上的其他計算機,不會損害你的計算機。 公共區域(public):不相信網絡上的任何計算機,只有選擇接受傳入的網絡連接。 隔離區域(DMZ):隔離區域也稱為非軍事區域,內外網絡之間增加的一層網絡,起到緩衝作用。對於隔離區域,只有選擇接受傳入的網絡連接。 信任區域(trusted):所有的網絡連接都可以接受。 丟棄區域(drop):任何傳入的網絡連接都被拒絕。 內部區域(internal):信任網絡上的其他計算機,不會損害你的計算機。只有選擇接受傳入的網絡連接。 外部區域(external):不相信網絡上的其他計算機,不會損害你的計算機。只有選擇接受傳入的網絡連接。 注:FirewallD的默認區域是public。 1.2. 顯示支持的區域列表firewall-cmd --get-zones 1.3. 設置為家庭區域firewall-cmd --set-default-zone=home 1.4. 查看當前區域firewall-cmd --get-active-zones 1.5. 設置當前區域的接口firewall-cmd --get-zone-of-interface=enp03s 1.6. 顯示所有公共區域(public)firewall-cmd --zone=public --list-all 1.7. 臨時修改網絡接口(enp0s3)為內部區域(internal)firewall-cmd --zone=internal --change-interface=enp03s 1.8. 永久修改網絡接口enp03s為內部區域(internal)firewall-cmd --permanent --zone=internal --change-interface=enp03s 2. 服務管理2.1. 顯示服務列表Amanda, FTP, Samba和TFTP等最重要的服務已經被FirewallD提供相應的服務,可以使用如下命令查看: firewall-cmd --get-services 2.2. 允許SSH服務通過firewall-cmd --enable service=ssh 2.3. 禁止SSH服務通過firewall-cmd --disable service=ssh 2.4. 打開TCP的8080端口firewall-cmd --enable ports=8080/tcp 2.5. 臨時允許Samba服務通過600秒firewall-cmd --enable service=samba --timeout=600 2.6. 顯示當前服務firewall-cmd --list-services 2.7. 添加HTTP服務到內部區域(internal)firewall-cmd --permanent --zone=internal --add-service=http firewall-cmd --reload #在不改變狀態的條件下重新加載防火牆 3. 端口管理3.1. 打開端口#打開443/TCP端口firewall-cmd --add-port=443/tcp#永久打開3690/TCP端口firewall-cmd --permanent --add-port=3690/tcp#永久打開端口好像需要reload一下,臨時打開好像不用,如果用了reload臨時打開的端口就失效了#其它服務也可能是這樣的,這個沒有測試firewall-cmd --reload#查看防火牆,添加的端口也可以看到firewall-cmd --list -all 4. 直接模式FirewallD包括一種直接模式,使用它可以完成一些工作,例如打開TCP協議的9999端口 firewall-cmd --direct -add-rule ipv4 filter INPUT 0 -p tcp --dport 9000 -j ACCEPTfirewall-cmd --reload 5. 關閉服務的方法你也可以關閉目前還不熟悉的FirewallD防火牆,而使用iptables,命令如下: systemctl stop firewalldsystemctl disable firewalldyum install iptables-servicessystemctl start iptablessystemctl enable iptables
|
