Config Server Firewall（或 CSF）是用于 Linux 的高级防火墙和代理服务器。 它的主要目的是允许系统管理员控制本地主机和连接的计算机之间的访问。 该软件还可以配置为监视网络流量中的恶意活动。

它提供了许多功能，例如“防火墙策略”，除了网络地址转换 (NAT) 服务、代理服务、在您自己的 DNS 服务器上缓存 DNS 解析器查询或根本不缓存它们之外，还允许过滤各种类型。 它还支持具有不同权限级别的经过身份验证的用户来执行特定任务，例如管理防火墙策略或扩展 NAT 服务。 它还有一个不错的“系统记录器”，它允许记录系统上发生的各种事件，例如登录、注销、文件修改、添加或任何其他类型的事件。

该软件有多种语言版本，包括英语、葡萄牙语和法语。

该软件的源代码可根据 GNU 通用公共许可证的条款免费获得。

如今，大多数安全产品最常见的攻击媒介是应用程序和配置文件中的漏洞。 CSF 使得利用这些缺陷变得困难。 如果您计划运行开源业务或使用 Linux 系统作为 Web 应用程序的后端，那么您应该考虑安装 Config Server Firewall (CSF)。

在本文中，我们将展示如何在 Debian Linux 中安装和配置 CSF 服务器。 本指南适用于 Debian 版本 10 和 11。阅读完本指南后，您将能够打开基本的 CSF 防火墙和代理服务器。

先决条件

• 本文假设您拥有具有 root 权限的 Debian 10 或 Debian 11 Linux 系统。
• 本指南假定您在服务器上有有效的 Internet 连接。
• 本指南假定您具有 Linux 和命令行的基本知识。

更新您的系统

在安装任何软件包之前，更新系统始终是一个好习惯。 让我们运行以下命令来更新系统。

sudo apt update && sudo apt upgrade -y

这些命令将验证存储库中是否有任何可用的更新并安装它们。 然后您需要运行以下命令来安装所需的依赖项。 您在此处安装的依赖项默认情况下不会安装。 您必须手动安装它们。 这样做的原因是它们为特定程序提供了额外的功能，并且并不总是需要。

sudo apt install wget libio-socket-ssl-perl git perl iptables -y
sudo apt install libnet-libidn-perl libcrypt-ssleay-perl -y
sudo apt install libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip - y

样本输出：

在 Debian 11 上安装 CSF 防火墙

现在您已经安装了所有必需的依赖项，您可以在 Debian Linux 中安装 CSF。 安装过程非常简单，但让我们一步一步来。

默认情况下，Debian 存储库不包含 CSF 软件包。 要使 CSF 正常工作，您必须手动下载并安装 CSF 包。

提取 CSF 存档后，您将拥有一个名为 csf 的新文件夹。 csf 目录包含在 Debian 服务器中安装 CSF 所需的所有文件和安装。

运行 ls -l 命令以验证是否已创建新目录。

ls -l

1. 运行 wget https://download.configserver.com/csf.tgz 命令将 CSF 包下载到您当前的工作目录。

wget https://download.configserver.com/csf.tgz

2. 下载包后，运行 tar -xvzf csf.tgz 命令将包解压到当前工作目录中。 tar 代表磁带存档，是一种创建文件存档的方法。 x 表示提取，v 表示详细操作。 z 用于 gzip 压缩，表示文件已压缩。 f 代表存档文件名，在这种情况下，它是 csf.tgz。

tar -xvzf csf.tgz

提取 CSF 存档后，您将拥有一个名为 csf 的新文件夹。 csf 目录包含在 Debian 服务器中安装 CSF 所需的所有文件和安装。

3. 运行 ls -l 命令验证新目录是否已创建。

ls -l

4. 进入 csf 目录并运行 sudo bash install.sh 命令在您的系统上安装 CSF。

install.sh 是一个安装脚本，它会自动下载最新的 CSF 包并将其安装在您的系统上。 该脚本为您完成与下载、提取和安装所需依赖项等相关的所有艰苦工作。

安装脚本是一个可执行文本文件，可自动执行系统上程序或软件包的安装过程。 该脚本通常会检查它需要安装的内容，然后将其下载并安装到您的系统上。 这大大减少了您安装和配置事物所花费的时间，并减少了与手动配置事物相关的错误。

cd csf && sudo bash install.sh

安装过程需要几分钟，所以让我们等待它完成。 安装完成后，您将获得以下输出。

至此，您已经在 Debian 10 Linux 服务器上正确安装了 CSF。 但是您应该检查 iptables 模块在您的系统中是否可用。 iptables 用于创建 CSF 规则和防火墙。

5. 运行 sudo perl /usr/local/csf/bin/csftest.pl 命令来验证 iptables 模块是否可用。

sudo perl /usr/local/csf/bin/csftest.pl

如果您得到如下所示的输出，那么您一切顺利。

配置 CSF 防火墙策略

现在您已经在 Debian Linux 服务器上安装了 CSF，是时候配置它了。 在本节中，我们将介绍如何配置一些基本的 CSF 防火墙策略。

csf.conf 配置文件位于 /etc/csf 目录，用于定义 CSF 防火墙策略和规则。

1. 运行 sudo nano /etc/csf.conf 命令将打开 csf.conf 配置文件。 这将允许您编辑和查看此文件的内容

sudo nano /etc/csf/csf.conf

您需要做的第一件事是配置您的开放端口。 开放端口是您定义用户可以使用哪些端口访问后端的方式。

向下滚动到“允许传入”和“允许传出”部分以查看所有打开的端口。 默认打开最常用的端口。 如果您想允许通过它们进行连接，您可以通过手动将端口号添加到打开的端口列表来打开其他端口。

但请记住，您拥有的开放端口越多，您运行的风险就越大。 您不希望您的服务器成为坏人的坐鸭。 因此，请始终控制这些开放的端口，并且不要同时打开太多端口。

2. 默认情况下， 测试 设置为 1。完成测试后，您应该将其更改为 0，

前

后

3. 限制 指令 CSF 还可以将特定端口的传入连接数限制为给定值。 如果您想一次限制同时连接到一个端口的数量，这很有用。

例如，22;1;443;10 会将您的防火墙设置为在给定时间仅允许与端口 22 和 443 的特定连接。 此值将到端口 22 的同时传入连接数限制为一次只有一个，并设置一次到端口 443 的同时传入连接数限制为十个。

3. 港口洪水 指令用于指定来自单个 IP 地址的连续连接尝试次数，每个时间间隔应阻止该次数。 例如，如果从单个 IP 检测到端口 22 上连续 3 次以上的连接尝试，22;tcp;3;3600 会将防火墙设置为阻止连接 60 分钟（3600 秒）。 3600 秒过后，被封锁的 IP 将自动解除封锁。

4. Save 和 close 完成后的 csf.conf 配置文件。 现在您可以重新加载 SF 防火墙以应用更改。

sudo csf -r

跑过 sudo csf -l 命令来验证您的任何更改是否已同步到防火墙。

sudo csf -l

结论

在本文中，我们学习了如何在 Debian Linux 服务器上安装和配置 CSF。 CSF 是一种相对较新的防火墙工具，可让您轻松配置防火墙策略和规则。 CSF 可能不是目前最好的防火墙解决方案，但对于新的 Linux 防火墙管理员来说，它是一个很好的起点。 如果您有任何问题或反馈，请发表评论。