防火墙规则设置不当导致服务无法访问
公司刚上线了一个内部管理系统,外部用户却怎么都打不开。排查发现,防火墙入站规则没放行对应端口。比如系统用的是8080端口,但防火墙默认只开了80和443。这时候就得手动添加规则:
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT这条命令在Linux防火墙上开放了8080端口。实际操作中,很多人忘记保存规则,重启后配置丢失。记得运行 service iptables save 或使用 iptables-save 持久化。
公网IP暴露过多引发安全风险
有家公司把数据库服务器直接绑定了公网IP,结果几天内就被扫描攻击上百次。网络边界不该让内部服务直接暴露。正确的做法是使用DMZ(隔离区),只把Web服务器放在前面,数据库留在内网,通过ACL限制访问来源。
例如,在路由器或防火墙上设置ACL:
access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 101 deny ip any any这样只有内网段能发起HTTP请求,其他流量被拒绝。
NAT配置错误造成内外网通信异常
某门店的收银系统依赖总部API,突然连不上。检查发现是边界路由器NAT配置漏了静态映射。内网服务对外提供接口时,必须做好端口转发。比如将公网IP的443端口转到内网192.168.10.10:
ip nat inside source static tcp 192.168.10.10 443 interface GigabitEthernet0/0 443配完还得确认“inside”和“outside”接口标记正确,否则NAT不生效。
DDoS攻击导致边界设备瘫痪
网站早上突然打不开,监控显示带宽被打满。查流量记录发现是UDP反射攻击。很多单位只防病毒不防流量洪流,等出事才想起来要加限速策略。
可以在边界防火墙做速率限制:
rate-limit input access-group 102 rate 1000000 burst 200000这表示对匹配ACL 102的流量限速1Mbps。同时启用SYN Cookie、开启黑洞路由都是应急手段。
日志记录不全影响问题追溯
一次入侵事件后,安全人员想查是谁登录过管理后台,却发现防火墙日志只存了三天。建议至少保留30天日志,并同步到独立的日志服务器。
以Syslog为例,将日志发往中央服务器:
logging 192.168.5.50
logging trap info同时确保时间同步(NTP),不然跨设备排查时时间对不上,白忙活。