Hướng dẫn Bảo mật cho server bằng tường lửa an toàn tuyệt đối

posted in: Thủ thuật, Tin Máy Chủ | 0

Có thể bạn đã từng nghe về Bảo mật cho server bằng tường lửa trước đây. Chúng là một trong những loại biện pháp bảo mật hiệu quả nhất nhưng ít được hiểu nhất mà bạn có thể thực hiện. Mặc dù chúng khá phức tạp nhưng vẫn hữu ích khi biết cách chúng hoạt động và cách thiết lập chúng.

Đơn giản chỉ cần đặt, một bức tường lửa có thể ngăn chặn các kết nối không mong muốn vào server của bạn; nếu bạn biết làm thế nào để phát hiện chúng. Trong thế giới ngày nay, nơi các server bị tấn công liên tục, tường lửa có thể là một trong những biện pháp phòng thủ tốt nhất của bạn chống lại sự xâm nhập.

Trong bài viết này, chúng tôi sẽ giải thích tường lửa là gì và tại sao bạn cần Bảo mật cho server bằng tường lửa. Sau đó, chúng tôi sẽ hướng dẫn bạn cách triển khai hai loại Bảo mật cho server bằng tường lửa của bạn.

Hướng dẫn Bảo mật cho server bằng tường lửa an toàn tuyệt đối

Giới thiệu về tường lửa (và tại sao bạn cần chúng)

Mặc dù tên ưa thích của họ, tường lửa về cơ bản là phần của phần mềm chặn truy cập không mong muốn vào máy chủ của bạn trong khi vẫn cho phép nó hoạt động như bình thường. Đó là một cái gì đó cần thiết bởi thực tế tất cả mọi người chạy một server, và có một số lợi ích:

– Bạn có thể chặn truy cập có chọn lọc. Chặn máy chủ của bạn không có nghĩa là không ai có thể truy cập vào máy chủ đó. Trong thực tế, bạn có thể cấu hình tường lửa của bạn để cấp quyền truy cập chỉ cho một vài người dùng cụ thể (được xác định bởi địa chỉ IP của họ).

– Họ giảm thiểu cơ hội tấn công trên server của bạn. Hầu hết các máy chủ lưu trữ một số loại thông tin nhạy cảm bao gồm tài liệu, địa chỉ email và mật khẩu. Đương nhiên, rất nhiều dữ liệu này được mã hóa – nhưng bạn vẫn không muốn bất kỳ rò rỉ trên đồng hồ của bạn.

– Chúng tương đối dễ thiết lập. Nhiều nhà cung cấp dịch vụ lưu trữ và Hệ thống quản lý nội dung (CMS) bao gồm các tùy chọn để thiết lập các loại tường lửa cụ thể.

Với ý nghĩ đó, chúng ta hãy nói về cách thực hiện hai loại tường lửa phổ biến nhất và cách chúng hoạt động.

Hai cách để thực hiện Bảo mật cho server bằng tường lửa

Có rất nhiều tùy chọn có sẵn khi nói đến tường lửa, nhưng hôm nay chúng ta sẽ tập trung vào hai trong số những cách Bảo mật cho máy chủ an toàn tuyệt đối dễ nhất để thực hiện: Các tường lửa chính sách nâng cao và các tùy chọn dựa trên các bảng IP.

Hãy nhớ rằng trong khi chúng tôi hỗ trợ cả hai loại tường lửa này tại A2 Hosting, bạn sẽ cần quyền truy cập root để triển khai chúng. Điều này có nghĩa là chúng sẽ chỉ hoạt động với các máy chủ riêng ảo  ( VPS ) và các máy chủ chuyên dụng .

1. Cấu hình tường lửa bằng cách sử dụng bảng IP

Các bảng IP cho phép bạn cấp hoặc từ chối quyền truy cập vào các địa chỉ IP và dịch vụ cụ thể. Điều này cung cấp cho bạn toàn quyền kiểm soát mọi thứ đi vào và ra khỏi máy chủ của bạn, bao gồm cả các kết nối Giao thức Kiểm soát Truyền (TCP) và Secure Shell (SSH) . Tóm lại, nó sẽ phù hợp với những ai thích sử dụng dòng lệnh.

Nếu bạn đang sử dụng VPS hoặc máy chủ chuyên dụng, bạn sẽ có quyền truy cập vào chương trình iptables , theo mặc định với hầu hết các bản phân phối Linux. Điều đầu tiên bạn cần làm là xem lại rằng nó không có bất kỳ quy tắc nào được đặt theo mặc định bằng cách nhập lệnh sau trên bảng điều khiển của bạn:

iptables -L

Điều này sẽ trả lại ba bộ quy tắc hoặc chuỗi – mỗi bộ cho các gói đến, đi và chuyển tiếp của bạn và tất cả chúng phải bao gồm một dòng đọc chính sách ACCEPT . Để thêm một quy tắc mới vào một chuỗi cụ thể, bạn sẽ cần sử dụng lệnh sau:

iptables -A INPUT -p tcp -m tcp --dport 7822 -j ACCEPT

Điều này cho phép các kết nối TCP đến thông qua cổng 7822, thường được SSH sử dụng. Đừng lo lắng, chúng tôi sẽ liên kết bạn với một tài nguyên với thông tin về tất cả các lệnh bạn cần biết trong một phút. Bây giờ, hãy thêm một quy tắc khác cho phép các kết nối TCP đến thông qua cổng 80 (HTTP) :

iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Xin lưu ý, cổng 80 thường được sử dụng nhất để máy chủ chuyển thông tin vì giao thức HTTP vẫn phổ biến. Tuy nhiên, nếu bạn đã thiết lập Chứng chỉ lớp cổng bảo mật (SSL) cho server của mình, bạn cũng sẽ muốn bật quyền truy cập thông qua cổng 443 (là mặc định cho HTTPS). Dưới đây là cách thực hiện:

iptables -I INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Đơn giản, phải không? Bây giờ, nếu bạn muốn chặn một địa chỉ IP cụ thể truy cập vào máy chủ của bạn, tất cả những gì nó cần là một lệnh iptables khác . Ví dụ:

iptables -I INPUT rulenum -s 'IP address goes here' -j DROP

Các thả quy tắc sẽ hướng dẫn máy chủ của bạn để ngăn chặn tất cả các loại kết nối từ một địa chỉ IP cụ thể.

Bây giờ bạn có những kiến ​​thức cơ bản về iptables , chúng tôi khuyên bạn nên kiểm tra cơ sở kiến ​​thức của chúng tôi để biết thêm các lệnh mà bạn có thể sử dụng với chương trình (cũng như cách lưu và xóa quy tắc).

2. Cài đặt Tường lửa Chính sách Nâng cao

Nếu bạn không phải là một fan hâm mộ lớn của dòng lệnh, tường lửa chính sách nâng cao (APF)  là một thay thế cho phép bạn cấu hình tường lửa bằng cách sử dụng một trình soạn thảo văn bản đơn giản. Tuy nhiên, bạn cũng sẽ cần sử dụng một chương trình cụ thể và chương trình này không được bao gồm theo mặc định trên hầu hết các bản phân phối Linux (không giống như iptables ).

Như bạn có thể tưởng tượng, bạn sẽ cần sử dụng dòng lệnh để thiết lập nó, nhưng quá trình này khá đơn giản. Chỉ cần làm theo các hướng dẫn này và khi bạn hoàn tất, bạn sẽ có thể định cấu hình tường lửa của mình bằng cách truy cập tệp sau:

/etc/apf/conf.apf

Sự lựa chọn của trình soạn thảo văn bản để sử dụng là trong tay của bạn, nhưng quá trình vẫn giữ nguyên. Chỉ cần chọn một yêu thích của bạn và mở tập tin đó với nó. Ví dụ: nếu bạn là người dùng Vim , bạn sẽ sử dụng lệnh này:

vi  /etc/apf/conf.apf

Khi bạn ở trong, bạn sẽ muốn tìm các dòng sau:

SET_MONOKERN="0"

HELPER_SSH_PORT="22"

IG_TCP_CPORTS="22"

Đó chỉ là giá trị mặc định, nhưng bạn sẽ cần phải thay thế chúng để tường lửa của bạn có hiệu quả. Ví dụ, việc thay đổi giá trị của SET_MONOKERN thành 1 sẽ cho phép chương trình được cài đặt vào nhân và không phải là một gói, mà là cần thiết để nó hoạt động.

Tiếp tục, bạn cũng sẽ cần phải thay đổi giá trị của HELPER_SSH_PORT thành 7822, đây là giá trị mặc định cho các kết nối SSH, như bạn có thể nhớ từ phần trước.

Cuối cùng, thêm các cổng TCP bạn muốn kích hoạt cho các giá trị của dòng cuối cùng. Ví dụ:

IG_TCP_CPORTS="80, 7822, 443"

Điều đó sẽ cho phép các kết nối thông qua HTTP, SSH và HTTPS tương ứng. Cuối cùng, lưu các thay đổi vào tệp conf.apf và khởi động chương trình APF bằng cách sử dụng lệnh sau:

apf --start

Bây giờ bạn đã sẵn sàng Bảo mật cho server bằng tường lửa chưa?

Phần kết luận

Triển khai tường lửa là một trong những phương pháp hiệu quả nhất để ngăn chặn các cuộc tấn công trên cả server của bạn và máy tính cục bộ của bạn. Theo như các server, rất có thể là của bạn có thể được tiếp xúc với các cuộc tấn công ngay cả khi bạn không nhận thức được nó. Đó là lý do tại sao bạn cần phải học cách bảo vệ bạn theo mọi cách có thể.

Tùy thuộc vào gói lưu trữ của bạn, bạn có thể triển khai hai loại tường lửa trên server của mình. Hãy tóm tắt điểm mạnh cá nhân của họ:

♠ Bảo mật cho server bằng tường lửa bảng IP: Nếu bạn cảm thấy thoải mái khi sử dụng dòng lệnh, đây có thể là lựa chọn phù hợp với bạn.

♠ Bảo mật cho server bằng tường lửa bằng chính sách nâng cao: Lựa chọn này cho phép bạn thiết lập tường lửa bằng trình soạn thảo văn bản đơn giản.

Bạn có bất kỳ câu hỏi nào về tường lửa hoặc tư vấn về Thuê máy chủ giá rẻ tại hà nội… và cách chúng có thể giúp bạn không? Hãy hỏi trong phần bình luận dưới đây!

Bình luận