七.防火墙
一).软件:iptables
(二). 规则
1.加载重要的iptables 模块:ip_tables, iptable_filter, ip_conntrack,
ip_conntrack_ftp;
2.按网卡接口(eth0, eth1,…)和数据包类型(TCP,UDP,ICMP)
自定义规则集;
3.配置每个规则集的 policy为 ACCEPT,但一定要在每个规则集的末尾显式DROP任何匹配该规则集但不允许的数据包(iptables –A <rule-set name> -j DROP);
4.DROP 无效数据包,IP spoof 数据包;
5.只开放能满足业务需求的最少的端口;
(三). 配置
参考<< linux 系统规范 >> 10. 配置安全 3)防火墙;
八.入侵检测和防护
1.工具:OSSEC;
2.策略:在某台服务器上安装OSSEC HIDS 服务器,在需要作主机入侵检查和防护及文件完整性检测的服务器上安装OSSEC HIDS 代理,代理将相关信息发送到HIDS服务器,由服务器统一分析处理;
3.配置:参考<< HIDS OSSEC安装指南>>;
九.安全审计
---------------------------------------------------------------
审计对象 工具 频率
-----------------------------------------------------------
Linux 系统 nmap 1个月
Nessus 3个月
自动日志分析 实时
人工日志分析 必要时
口令文件 John the ripper 3个月
APACHE nikto 6个月
Appscan 6个月
------------------------------------------------------------
注:新安装的服务器必须经过安全审计才允许投入产品环境;
新发布了应用后,必须立即进行安全审计;