Debian防火墻安全策略

在Debian系統中，防火墻安全策略可以通過配置iptables或firewalld來實現。以下是兩種方法的詳細介紹：

使用iptables配置防火墻安全策略

iptables是Linux系統中的一個強大工具，用于配置和管理防火墻規則。以下是一個基本的iptables配置示例：

# 允許所有本地回環（lo0）流量
-A INPUT -i lo -j ACCEPT

# 拒絕所有不是來自本地回環且目的地不是127.0.0.0/8的數據包
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# 接受所有已建立的入站連接
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允許所有出站流量
-A OUTPUT -j ACCEPT

# 允許來自任何地方的HTTP和HTTPS連接
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

# 允許SSH連接
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

# 記錄被拒絕的連接
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# 拒絕所有其他入站數據包，默認拒絕策略
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT

使用firewalld配置防火墻安全策略

firewalld是一個動態管理防火墻的工具，提供了基于區域（zones）和服務（services）的管理方式。以下是如何使用firewalld配置防火墻安全策略的基本步驟：

1. 安裝firewalld（如果尚未安裝）：

sudo apt install firewalld

2. 啟動和啟用firewalld：

sudo systemctl start firewalld
sudo systemctl enable firewalld

3. 查看當前狀態：

sudo systemctl status firewalld

4. 管理區域和服務：

• 查看當前區域和規則：

sudo firewall-cmd --get-active-zones
sudo firewall-cmd --zone public --list-all

• 添加服務到區域：

sudo firewall-cmd --zone public --add-service http --permanent

• 移除服務：

sudo firewall-cmd --zone public --remove-service http --permanent

• 重新加載配置：

sudo firewall-cmd --reload

5. 添加和移除端口：

• 添加端口：

sudo firewall-cmd --zone public --add-port 8080/tcp --permanent

• 移除端口：

sudo firewall-cmd --zone public --remove-port 8080/tcp --permanent

6. 臨時和永久規則：

• 使用--permanent選項添加的規則在重啟后仍然有效。

通過上述步驟，您可以根據自己的需求配置Debian防火墻的安全策略，保護系統免受未經授權的訪問和惡意攻擊。