ConfigServer Security & Firewall是国外开发的一套linux系统免费防火墙，它基于iptables工作，能有效缓解服务器压力，具有自动屏蔽暴力破解密码IP、管理开放端口、免疫轻量DDoS和CC等等功能，同时，安装和使用也极为简便，在我们常用的DA和CP面板还有图形化操作界面，也支持个人普通用户安装于LNMP环境下使用,下边就会大家介绍CentOS系统如何安装CSF防火墙。 执行以下步骤安装：

wget https://download.configserver.com/csf.tgz tar zxvf csf.tgz cd csf sh install.sh

执行完毕，您的CSF就安装上了。

配置CSF

CSF配置文件地址：/etc/csf/csf.conf 白名单：/etc/csf/csf.allow 黑名单：/etc/csf/csf.deny

主要的配置信息，在csf.conf中，包含有非常详细的解释，各位可以自行研究设定。

一、打开CSF防火墙

CSF防火墙可以通过编辑主文件/etc/csf/csf.conf设定开启：

TESTING = 0

二、端口Flood保护

该设置能提供抵御端口Flood攻击的保护（如DoS拒绝服务攻击等）。可以设定每个端口在一定周期内被允许的连接数量。建议打开这个功能，因为它能防止攻击者迫使服务器宕机。应注意设定的限制范围，限制过度会漏掉正常客户的访问。同样，限制太宽会使Flood攻击得逞。

PORTFLOOD 是一个用逗号分隔的列表：

PORTFLOOD = “22;tcp;5;300,80;tcp;20;5”

意思是：

如果tcp 22端口在300秒内连接超过5个，在最后一个包后阻止来自22端口的IP地址至少300秒。这意味着阻止停止之前，有300秒的“安静”期。 如果tcp 80端口在5秒内连接数超过20个，在最后一个包后阻止来自80端口的IP地址至少5秒。意味着阻止停止前有5秒的“安静期”。

三、CONNLIMIT连接限制保护

该功能可用于限制每个端口来自一个IP地址的并发活跃连接数量。在适当配置的情况下，它能保护服务器防止DoS等攻击。

CONNLIMIT是用逗号分开的列表：

CONNLIMIT = “22;5,80;20”

意思是： 允许每个IP地址在22端口的并发连接不超过5次。 允许每个IP地址在80端口的并发连接不超过20次。

四、SYNFLOOD, SYNFLOOD_RATE和SYNFLOOD_BURST

SYNFLOOD = “0” SYNFLOOD_RATE = “100/s” SYNFLOOD_BURST = “150”

修改为1表示开启，这个比较消耗资源，没有攻击的时候不要开启。

执行csf -r重启CSF服务，即可使设置生效。

另外几个有用的命令

csf -x 禁用CSF csf -e 启用CSF csf -l 查看CSF状态