天融信防火墙白名单配置方法

1、如果你的服务器用的是内网的私有地址，这时候在原来配置规则下，需要再加一条目的地址转换，让外网的用户访问你们单位的服务器的时候，首先是访问防火墙的外网口的IP地址及服务的端口，然后把外网口目的地址和端口号映射到你服务器的IP地址和端口号，这个在目的地址里可以设置。
2、如果你的服务器用的公网的IP，你可以在路由设置中添加一条主机路由，即掩码是255255255255，当然这个是从外网到内网的。
你说的路由设置可能有两个作用：
1、添加一个你外网口的网关，即外网口口的下一条地址，应该是和你外网口相连的路由器的IP（也可能是ISP的路由器地址，如果不知道就问他们）
2、配置到达位置网段的路由，如：上面所说的主机路由。

打开配置文件 

命令代码  

[root@localhost ~]# vi /etc/sysconfig/iptables   

正确的配置文件 

配置代码  

# Firewall configuration written by system-config-firewall    

# Manual customization of this file is not recommended    

filter    

:INPUT ACCEPT [0:0]    

:FORWARD ACCEPT [0:0]    

:OUTPUT ACCEPT [0:0]    

-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT    

-A INPUT -p icmp -j ACCEPT    

-A INPUT -i lo -j ACCEPT    

-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT    

-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT   

-A INPUT -j REJECT –reject-with icmp-host-prohibited    

-A FORWARD -j REJECT –reject-with icmp-host-prohibited    

COMMIT   

配置[]通配代码  

-A INPUT -m state –state NEW -m tcp -p tcp –dport  -j ACCEPT  

注意点：新开放的端口一定要在端口22后面 
重启防火墙使配置生效 

命令代码  

[root@localhost ~]# /etc/initd/iptables restart  

其它 
查看开放端口 

命令代码  

[root@localhost ~]# /etc/initd/iptables status  

关闭防火墙 

命令代码  

[root@localhost ~]# /etc/initd/iptables stop  

此FTP服务器的防火墙通用设置规则适用于Windows(包括服务器版和桌面版)、Linux服务器以及可能的其他 *** 作系统。
在配置好FTP服务器后将发起FTP服务的程序(如Windows的svchostexe或FileZilla
serverexe)而不仅仅是端口允许通过防火墙，程序(此处特指Windows的svchostexe)不用带参数。
svchostexe这个例外，必须通过控制面板中的
“
允许程序通过
Windows
防火墙通信”
，使得
“Windows
服务主进程”
(
svchostexe
，C:WindowsSystem32svchostexe
)允许通过防火墙才可以。
FileZilla也是如此，但无需仅使用控制面板中的
“
允许程序通过
Windows
防火墙通信”，而也可以使用“高级安全Windows防火墙”进行设置
。

就是为网站的服务器配置防火墙
就是配备硬件防火墙或者购买软件防火墙，但硬件防火墙价格昂贵，软件防火墙也价格不菲
不过WIN2003有自带防火墙
Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
Internet连接防火墙的设置
在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。
1 启动/停止防火墙
(1)打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。
(2)单击“高级”选项卡，出现如图1所示启动/停止防火墙界面。如果要启用 Internet 连接防火墙，请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙，请清除以上选择。
2防火墙服务设置
Windows 2003 Internet连接防火墙能够管理服务端口，例如>华为防火墙同步配置是指在多台防火墙之间同步配置，使得多台防火墙的配置保持一致。
华为防火墙同步配置的方法有：
1、使用FTP协议：首先将需要同步的配置文件上传到FTP服务器，然后在各个防火墙上使用FTP协议从FTP服务器上下载该配置文件，最后在各个防火墙上把下载的配置文件应用到设备上。
2、使用TFTP协议：首先将需要同步的配置文件上传到TFTP服务器，然后在各个防火墙上使用TFTP协议从TFTP服务器上下载该配置文件，最后在各个防火墙上把下载的配置文件应用到设备上。
3、使用SFTP协议：首先将需要同步的配置文件上传到SFTP服务器，然后在各个防火墙上使用SFTP协议从SFTP服务器上下载该配置文件，最后在各个防火墙上把下载的配置文件应用到设备上。
4、使用防火墙设备之间的专用同步链路：可以使用专用同步链路，在多台防火墙之间建立一条专用的同步链路，在这条链路上进行配置文件的传输，从而实现多台防火墙的配置同步。

服务名为svc:/network/ipfilter:default。默认是禁用的：
svcs -a |gre[ ipfilter
ipFilter的配置文件为/etc/ipf/ipfconf。我们来新建一条规则，禁止1921680168访问服务器端的ftp。
#vi /etc/ipf/ipfconf 添加内容：block in log quick proto tcp from 1041280/24 to any port = ftp
然后重启服务，并查看是否启动。
svcadm -enable scv:/network/ipfilter:default
禁止就是block
通过就是pass
进来就是in
出去就是out
例如：禁止对PING的响应
block out quick proto icmp from any to 104128163/32 icmp-type 0

---