計算機安全問題，應(yīng)該像每家每戶的防火防盜問題一樣，做到防范于未然。甚至不會想到你自己也會成為目標(biāo)的時候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。但是，通常來說系統(tǒng)安全與性能和功能是一對矛盾的關(guān)系。如果某個系統(tǒng)不向外界提供任何服務(wù)，外界是不可能構(gòu)成安全威脅的。不過有時候我們必須要上網(wǎng)，就需要做到一下幾點：

1、對指定網(wǎng)站禁止訪問

iptables支持試用域名和IP地址兩種方法來指定禁止的網(wǎng)站。如果使用域名的方式指定網(wǎng)站，iptables會通過DNS服務(wù)器查詢該域名對應(yīng)的所有IP地址，并將這些IP地址加入到規(guī)則中，所以使用域名指定網(wǎng)站時，iptables的執(zhí)行速度會稍慢。

命令如下：

[root@localhost ~]# iptables -I FORWARD -d www.xxx.com -j DROP

[root@localhost ~]# iptables -t filter -L FORWARD

2、禁止linux服務(wù)器上網(wǎng)

操作命令如下：

[root@localhost ~]# iptables -I FORWARD -s 192.168.1.102 -j DROP

[root@localhost ~]# iptables -t filter -L FORWARD

3、禁止Linux服務(wù)器訪問某些訪問

端口是TCP/IP使用“端口”來區(qū)分系統(tǒng)中的不同的服務(wù)，如web服務(wù)使用的是TCP 80端口，F(xiàn)TP服務(wù)使用的是TCP 21端口等。由于不同的服務(wù)會使用不同的端口與外界進行通信，因此要禁止linux服務(wù)器上的某些訪問，只要禁止服務(wù)使用的端口號即可。

操作命令如下：

[root@localhost ~]# iptables -I FROWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP

[root@localhost ~]# iptables -t filter -L FROWARD