ConfigServer Security & Firewall是国外开发的一套linux系统免费防火墙,它基于iptables工作,能有效缓解服务器压力,具有自动屏蔽暴力破解密码IP、管理开放端口、免疫轻量DDoS和CC等等功能,同时,安装和使用也极为简便,在我们常用的DA和CP面板还有图形化操作界面,也支持个人普通用户安装于LNMP环境下使用,下边就会大家介绍CentOS系统如何安装CSF防火墙。
执行以下步骤安装:

wget https://download.configserver.com/csf.tgz
tar zxvf csf.tgz
cd csf
sh install.sh

执行完毕,您的CSF就安装上了。

配置CSF

CSF配置文件地址:/etc/csf/csf.conf
白名单:/etc/csf/csf.allow
黑名单:/etc/csf/csf.deny

主要的配置信息,在csf.conf中,包含有非常详细的解释,各位可以自行研究设定。

一、打开CSF防火墙

CSF防火墙可以通过编辑主文件/etc/csf/csf.conf设定开启:

TESTING = 0

二、端口Flood保护

该设置能提供抵御端口Flood攻击的保护(如DoS拒绝服务攻击等)。可以设定每个端口在一定周期内被允许的连接数量。建议打开这个功能,因为它能防止攻击者迫使服务器宕机。应注意设定的限制范围,限制过度会漏掉正常客户的访问。同样,限制太宽会使Flood攻击得逞。

PORTFLOOD 是一个用逗号分隔的列表:

PORTFLOOD = “22;tcp;5;300,80;tcp;20;5”

意思是:

如果tcp 22端口在300秒内连接超过5个,在最后一个包后阻止来自22端口的IP地址至少300秒。这意味着阻止停止之前,有300秒的“安静”期。
如果tcp 80端口在5秒内连接数超过20个,在最后一个包后阻止来自80端口的IP地址至少5秒。意味着阻止停止前有5秒的“安静期”。

三、CONNLIMIT连接限制保护

该功能可用于限制每个端口来自一个IP地址的并发活跃连接数量。在适当配置的情况下,它能保护服务器防止DoS等攻击。

CONNLIMIT是用逗号分开的列表:

CONNLIMIT = “22;5,80;20”

意思是:
允许每个IP地址在22端口的并发连接不超过5次。
允许每个IP地址在80端口的并发连接不超过20次。

四、SYNFLOOD, SYNFLOOD_RATE和SYNFLOOD_BURST

SYNFLOOD = “0”
SYNFLOOD_RATE = “100/s”
SYNFLOOD_BURST = “150”

修改为1表示开启,这个比较消耗资源,没有攻击的时候不要开启。

执行csf -r重启CSF服务,即可使设置生效。

另外几个有用的命令

csf -x 禁用CSF
csf -e 启用CSF
csf -l 查看CSF状态

详细配置信息,可以咨询我们的技术人员。

« 返回