公司的产品一直运行在云服务器上，从而有幸接触过aws的ec2，盛大的云服务器，最近准备有使用阿里云的弹性计算（云服务器）。前两种云服务器在安全策略这块做的比较好，提供简单明了的配置界面，而且给了默认的安全策略，反观阿里云服务器，安全策略需要自己去配置，甚至centos机器上都没有预装iptables（起码我们申请两台上都没有），算好可以使用yum来安装，安装命令如下：
yum install -y iptables
yum install -y iptables
iptables安装好后就可以来配置规则了。由于作为web服务器来使用，所以对外要开放 80 端口，另外肯定要通过ssh进行服务器管理，22 端口也要对外开放，当然最好是把ssh服务的默认端口改掉，在公网上会有很多人试图破解密码的，如果修改端口，记得要把该端口对外开发，否则连不上就悲剧了。下面提供配置规则的详细说明：
第一步：清空所有规则
当Chain INPUT (policy DROP)时执行/sbin/iptables -F后，你将和服务器断开连接
所有在清空所有规则前把policy DROP该为INPUT，防止悲剧发生，小心小心再小心
/sbin/iptables -P INPUT ACCEPT
清空所有规则
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
第二步：设置规则
允许来自于lo接口的数据包，如果没有此规则，你将不能通过127.0.0.1访问本地服务，例如ping 127.0.0.1
/sbin/iptables -A INPUT -i lo -j ACCEPT
开放TCP协议22端口，以便能ssh，如果你是在有固定ip的场所，可以使用 -s 来限定客户端的ip
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
开放TCP协议80端口供web服务
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
10.241.121.15是另外一台服务器的内网ip，由于之间有通信，接受所有来自10.241.121.15的TCP请求
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
这条规则参看：http://www.netingcn.com/iptables-localhost-not-access-internet.html
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
屏蔽上述规则以为的所有请求，不可缺少，否则防火墙没有任何过滤的功能
/sbin/iptables -P INPUT DROP
可以使用 iptables -L -n 查看规则是否生效
1234567891011121314151617181920212223242526272829303132333435
第一步：清空所有规则&当Chain INPUT (policy DROP)时执行/sbin/iptables -F后，你将和服务器断开连接所有在清空所有规则前把policy DROP该为INPUT，防止悲剧发生，小心小心再小心/sbin/iptables -P INPUT ACCEPT清空所有规则/sbin/iptables -F/sbin/iptables -X计数器置0/sbin/iptables -Z&第二步：设置规则&允许来自于lo接口的数据包，如果没有此规则，你将不能通过127.0.0.1访问本地服务，例如ping 127.0.0.1/sbin/iptables -A INPUT -i lo -j ACCEPT &开放TCP协议22端口，以便能ssh，如果你是在有固定ip的场所，可以使用 -s 来限定客户端的ip/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT&开放TCP协议80端口供web服务/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT&10.241.121.15是另外一台服务器的内网ip，由于之间有通信，接受所有来自10.241.121.15的TCP请求/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT&接受ping/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT&这条规则参看：http://www.netingcn.com/iptables-localhost-not-access-internet.html/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT&屏蔽上述规则以为的所有请求，不可缺少，否则防火墙没有任何过滤的功能/sbin/iptables -P INPUT DROP&可以使用 iptables -L -n 查看规则是否生效
至此防火墙就算配置好，但是这是临时的，当重启iptables或重启机器，上述配置就会被清空，要想永久生效，还需要如下操作：
/etc/init.d/iptables save
service iptables save
执行上述命令可以在文件 /etc/sysconfig/iptables 中看到配置
/etc/init.d/iptables save
或service iptables save&执行上述命令可以在文件 /etc/sysconfig/iptables 中看到配置
以下提供一个干净的配置脚本：
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -P INPUT DROP
123456789101112
/sbin/iptables -P INPUT ACCEPT/sbin/iptables -F/sbin/iptables -X/sbin/iptables -Z&/sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT/sbin/iptables -P INPUT DROP
最后执行 service iptables save ，先确保ssh连接没有问题，防止规则错误，导致无法连上服务器，因为没有save，重启服务器规则都失效，否则就只有去机房才能修改规则了。也可以参考：来写一个脚本。
最后再次提醒，在清空规则之前一定要小心，确保Chain INPUT (policy ACCEPT)。
最后,我请教了一下我的朋友,他说此方案还不够安全,他向我推荐了添加多一些措施:
http://www.iambo.cn/archives/category/%E5%AE%89%E5%85%A8
搭建好web服务器后，需要配置防火墙允许80端口访问
# 默认防火墙内容
# Generated by iptables-save v1.4.7 on Sat Dec 17 10:11:38 2011
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# 允许已经连接上的连接
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# 允许ping
-A INPUT -p icmp -j ACCEPT
# 允许本地lo网口传输数据
-A INPUT -i lo -j ACCEPT
# 允许22端口的请求连接
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
# 默认不允许所有请求
-A INPUT -j REJECT –reject-with icmp-host-prohibited
# 默认不允许所有转发请求
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
在centos默认的iptables规则上修改
# 添加一个新链
iptables -N HTTP
# 把所有80端口的连接导到HTTP链去
iptables -A INPUT -p tcp -m tcp –dport 80 -j HTTP
# 默认允许访问
iptables -A HTTP -m state –state NEW -j ACCEPT
# 限制同一IP同时最大请求数为15
iptables -I HTTP -m state –state NEW -m connlimit –connlimit-above 15 -j DROP
# 如果需要禁止某个IP
iptables -I HTTP -s $IP/32 -j DROP
最后总结的内容
iptables -N HTTP
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp –dport 80 -j HTTP
iptables -A INPUT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT –reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT –reject-with icmp-host-prohibited
iptables -A HTTP -m state –state NEW -m connlimit –connlimit-above 15 -j DROP
iptables -A HTTP -m state –state NEW -j ACCEPTWin10的本地安全策略打开的方法 - 常见问题解答 - U大侠官网-装机专家
Win10的本地安全策略打开的方法
来源：U大侠
　　其实所谓的安全策略通俗的理解就是对登陆到计算机上的账号定义一些安全设置，比如登陆密码的管理和软件权限的设置等等。小编也相信很多用户都知道安全策略的位置，那么究竟Win10安全策略在哪里?以及Win10本地安全策略怎么打开呢?下面，就跟随U大侠小编一起来看看Win10的本地安全策略打开的方法。
　　方法一：
　　一、在Win10桌面这台电脑图标上找到&控制面板&或者从开始屏幕上右键，然后选择&控制面板&，随后找到&系统和安全&，如下图所示：
　　二、进入系统和安全属性之后，再点击下方的&管理工具&。
　　三、进入Win10管理工具，便可找到【本地安全策略】字样。
　　方法二：
　　1、首先在&开始菜单&选择&运行&回车，即会弹出运行窗口或者用快捷键Win+R快速启动运行窗口。
　　2、运行窗口打开之后再输入&ecpol.msc&，回车即可启动本地安全策略。
　　通过以上几步设置，我们就可以成功打开Win10安全策略设置了。以上就是Win10的本地安全策略打开的方法，更多精彩内容继续关注U大侠官网。
常见问题解答更多频道内容在这里查看
爱奇艺用户将能永久保存播放记录
过滤短视频
暂无长视频（电视剧、纪录片、动漫、综艺、电影）播放记录，
按住视频可进行拖动
&正在加载...
收藏成功，可进入
查看所有收藏列表
当前浏览器仅支持手动复制代码
视频地址：
flash地址：
html代码：
通用代码：
通用代码可同时支持电脑和移动设备的分享播放
用爱奇艺APP或微信扫一扫，在手机上继续观看
当前播放时间：
一键下载至手机
限爱奇艺安卓6.0以上版本
使用微信扫一扫，扫描左侧二维码，下载爱奇艺移动APP
其他安装方式：手机浏览器输入短链接http://71.am/udn
下载安装包到本机：
设备搜寻中...
请确保您要连接的设备（仅限安卓）登录了同一爱奇艺账号 且安装并开启不低于V6.0以上版本的爱奇艺客户端
连接失败！
请确保您要连接的设备（仅限安卓）登录了同一爱奇艺账号 且安装并开启不低于V6.0以上版本的爱奇艺客户端
部安卓（Android）设备，请点击进行选择
请您在手机端下载爱奇艺移动APP（仅支持安卓客户端）
使用微信扫一扫，下载爱奇艺移动APP
其他安装方式：手机浏览器输入短链接http://71.am/udn
下载安装包到本机：
爱奇艺云推送
请您在手机端登录爱奇艺移动APP（仅支持安卓客户端）
使用微信扫一扫，下载爱奇艺移动APP
180秒后更新
打开爱奇艺移动APP，点击“我的-扫一扫”，扫描左侧二维码进行登录
没有安装爱奇艺视频最新客户端？
本地安全策略在哪
正在检测客户端...
您尚未安装客户端，正在为您下载...安装完成后点击按钮即可下载
30秒后自动关闭
本地安全策略在哪">本地安全策略在哪
请选择打赏金额：
播放量12.7万
播放量数据：快去看看谁在和你一起看视频吧~
更多数据：
热门短视频推荐
Copyright (C) 2018 & All Rights Reserved
您使用浏览器不支持直接复制的功能，建议您使用Ctrl+C或右键全选进行地址复制
正在为您下载爱奇艺客户端安装后即可快速下载海量视频
正在为您下载爱奇艺客户端安装后即可免费观看1080P视频
&li data-elem="tabtitle" data-seq="{{seq}}"& &a href="javascript:void(0);"& &span>{{start}}-{{end}}&/span& &/a& &/li&
&li data-downloadSelect-elem="item" data-downloadSelect-selected="false" data-downloadSelect-tvid="{{tvid}}"& &a href="javascript:void(0);"&{{pd}}&/a&
选择您要下载的《
后才可以领取积分哦~
每观看视频30分钟
+{{data.viewScore}}分
{{data.viewCount}}/3
{{if data.viewCount && data.viewCount != "0" && data.viewCount != "1" && data.viewCount != "2" }}
访问泡泡首页
+{{data.rewardScore}}分
{{if data.rewardCount && data.rewardCount != 0 && data.getRewardDayCount != 0}} 1 {{else}} 0 {{/if}}/1
{{if data.rewardCount && data.rewardCount != 0 && data.getRewardDayCount != 0}}
+{{data.signScore}}分
{{data.signCount}}/1
{{if data.signCount && data.signCount != 0}}
色情低俗内容
血腥暴力内容
广告或欺诈内容
侵犯了我的权力
还可以输入
您使用浏览器不支持直接复制的功能，建议您使用Ctrl+C或右键全选进行地址复制