防火墙

第二章，网络虚拟化介绍 2.1 NSX网络虚拟化解决方案综述 NSX产品的部署形态，包括数据平面、管理平面和控制平面，如图4所示。 图4：NSX组成 NSX架构的原理是将数据、控制、管理层面分离。NSX的组件构成，每个组件的架构都在图4中给出了展示。分离的架构设计，可以让NSX整体架构不断扩大，并且规模不受负载的影响。每一个层面以及各自的整体描述，会在下边详细描述。 2.1.1数据层面 数据层面是通过NSX的vSwitch实现的。NSX提供给vSphere的vSwitch，是基于VDS实现的，这个VDS是通过增加额外组件实现的比之前更强大的虚拟分布式交换。NSX的可扩展组件包括内核模块，都是按照VMware软件的分布式部署方式扩展的。这些模块都运行在hypervisor层。能够提供的服务包扩：分布式路由、分布式防火墙以及vxlan到vlan的桥接。 NSX的VDS精简了物理网络，比方说在hypervisor层实现的接入层交换机。这对于虚拟化的网络能够在逻辑上不受物理网络架构限制是及其重要的。 NSX的vSwitch之所以能够实现现在的能力，是因为其使用vxlan协议的overlay技术，以及集中式的网络架构。基于overlay技术的NSX使一下部分成为可能： 在现有的物理网络架构下，通过IP网络overlay技术构建灵活的二层网络。

版权声明：本文为 testcs_dn(微wx笑) 原创文章，非商用自由转载-保持署名-注明出处，谢谢。 https://blog.csdn.net/testcs_dn/article/details/51406712 使用图形界面管理工具Navicat for MySQL连接Mysql数据库时提示错误：Can't connect to MySQL server (10060) 问题原因： 导致些问题可能有以下几个原因： 1、网络不通； 2、服务未启动； 3、防火墙端口未开放； 解决方法： 启动服务： [plain] view plain copy service mysqld start; 经过分析，我遇到的这个问题是防火墙导致的！ 开放防火墙端口 添加需要监听的端口 /sbin/iptables -I INPUT -p tcp --dport 3306 -j ACCEPT 保存设置 /etc/init.d/iptables save 查看状态 /etc/init.d/iptables status 临时关闭防火墙服务 service iptables stop 开启防火墙服务 service iptables start 开机不再启动防火墙服务 chkconfig iptables off 注意： 此文档适用服务器环境为：CentOS 6.5 MySQL 5.6 来源：

今天开通了一个阿里云主机，在安装tomcat服务后发现80、8080等端口不通，网上找了资料，先是按如下步骤操作： vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT（允许80端口通过防火墙） -A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT（允许3306端口通过防火墙） 特别提示：很多网友把这两条规则添加到防火墙配置的最后一行，导致防火墙启动失败，正确的应该是添加到默认的22端口这条规则的下面 添加好之后防火墙规则如下所示： ###################################### # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

摘自： https://blog.csdn.net/qq_29344757/article/details/81128150 如下是具有双网卡的Linux服务器，数据入口网卡是 eth0 ，数据出口网卡是 eth1 ： 而Linux**防火墙**的工作区域为下图中的绿色阴影部分(防火墙的概念这里不赘述)： Linux系统中防火墙功能的两大角色： iptables 和 netfilter 。iptables是Linux系统下应用层内置 控制防火墙的工具 ，netfilter则是防火墙功能的 具体实现 ，是 内核空间 的功能模块。所谓的iptables“控制”防火墙，就是用户利用iptables将防火墙规则设置给内核的netfilter功能模块，这中间涉及“四表五链”： “四表五链”其实是对用户设置规则的管理，是看待用户设置的规则的 两个维度 。举个例子，看图中深蓝色箭头的数据流向，数据包要到达用户层，需要经过 PREROUTING链 (路由前链)， INPUT链 (输入链)，在这个链路中存放着用户设置的规则，这些规则根据功能不同又会被分组存放在RAW表、Mangle表和NAT表中。当数据包抵达PREROUTING链时，netfilter程序会依次从 RAW表、Mangle表和NAT表 中取出针对PREROUTING链的用户规则并执行相应操作；同理

一、VMware tools 通过VMware tools来实现主机和VM共享文件， 详细介绍 记得 重启 就能实现本机和虚拟机之间复制粘贴文件。 二、搭建java环境： 一般linux都会预装openjdk，先将其卸载。 1.下载dk-8u5-linux-x64.tar.gz文件，tar.gz格式只是一个压缩包，因此只要使用解压到相应路径就可以了 2.以root身份打开并编辑profile文件 vi /etc/profile 3.设置环境变量 JAVA_HOME=/home/xiangkejin/software/jdk1.8.0_05 JRE_HOME=$JAVA_HOME/jre PATH=$JAVA_HOME/bin:$JRE_HOME/bin:$PATH CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib:$CLASSPATH export JAVA_HOME JRE_HOME PATH CLASSPATH 4.使环境变量立即生效，输入命令：source /etc/profile 5.检验是否安装成功 输入命令：java #检测jdk bin环境 接着输入：javac #检测jdk classpath环境 参考文章 可是现在还是有 问题 ： 每次进入系统都要输入source

1、本文的受众 如果你遇到了以下问题，那么你应该阅读这篇文章 我听说过这种技术，我对它很感兴趣 我想在家里访问我在公司的机器（写程序，查数据，下电影）。 公司为了防止我们用XX软件封锁了它的端口或者服务器地址。 公司不让我们上XX网站，限制了网址甚至IP。 公司不让我们看关于XX的信息，甚至花血本买了XX设备，能够对内容进行过滤。一看XX内容，链接就中断了。 我爸是搞电脑的，他在家里的路由器上动了手脚，我不能看XXX了。 带着这些问题，我们先从什么是ssh隧道开始。 2、什么是SSH隧道 首先看下面这张图，我们所面临的大部分情况都和它类似。我们的电脑在右上角，通过公司带有防火墙功能的路由器接入互联网（当然可能还有交换机什么的在中间连接着你和路由器，但是在我们的问题中交换机并不起到什么关键性的作用）。右下脚的部分是一个网站的服务器，它是我们公司防火墙策略的一部分，也就是说公司不希望我们访问这个服务器。在右上角还有一台机器，它也是属于我们的。但是这台机器并不在我们公司里面，换句话说他不受到公司防火墙的限制。最后也是最重要的一点是，我们能够在公司通过互联网直接访问这台机器。或者说这台位于公司防火墙外面的机器需要拥有一个独立的互联网IP，同时公司的防火墙规则不会屏蔽这台机器，并且这台机器运行着一个OpenSSH服务器。 现在，我们清楚地知道了自己所处的网络环境

健忘啊，记下来吧 Red Hat Linux 系统 此类型系统包括 red hat 的各类衍生及相关不版本，包括 RHEL 、 CentOS 、 Fedora 等等。 防火墙配置文件： /etc/sysconfig/iptables 服务操作命令 ： /etc/init.d/iptables service iptables {start|stop...} 临时改变命令 ： iptables iptables-save iptables-restore 等 禁止端口： iptables -D FORWARD -p tcp --dport 8000 -j REJECT 打开端口： iptables -I INPUT -p tcp --dport 3690 -j ACCEPT 如果想永久开放端口，那就进入：vi /etc/sysconfig/iptables 在最后加上目标端口即可，保存退出后，使用：/sbin/service iptables restart 重启一下防火墙 另，附iptables指令详解：来自（http://bbs.chinaunix.net/thread-2204793-1-1.html） 语法： iptables [-t table] command [match] [-j target/jump] -t 参数 用来指定规则表，内建的规则表有三个，分别是：nat

firewall 主动防御-网络过滤器(firewall) windows篇 第一课 网络基础(socket) https://github.com/haidragon/study_firewall/blob/master/study_firewall/page1/page.md 第二课 基于SPI层的网络过滤（LSP) https://github.com/haidragon/study_firewall/blob/master/study_firewall/page2/page.md 第三课 windows内核调试环境搭建(双机调试 mac平台 windows平台) https://github.com/haidragon/study_firewall/blob/master/study_firewall/page3/page.md 第四课 TDI层的网络过滤 （ Transport Driver Interface ） https://github.com/haidragon/study_firewall/blob/master/study_firewall/page4/page.md 第五课 NDIS层的网络过滤 https://github.com/haidragon/study_firewall/blob/master/study_firewall/page5/page

Web应用防火墙 的功能 1、事前主动防御，智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击，全方位保护WEB应用。 2、事中智能响应，快速P2DR建模、模糊归纳和定位攻击，阻止风险扩散，消除“安全事故”于萌芽之中。 3、事后行为审计，深度挖掘访问行为、分析攻击数据、提升应用价值，为评估安全状况提供详尽报表。 4、面向客户的应用加速，提升系统性能，改善WEB访问体验。 5、面向过程的应用控制，细化访问行为，强化应用服务能力。 6、面向服务的 负载均衡 ，扩展服务能力，适应业务规模的快速壮大。 Web应用防火墙的特点 异常检测协议 WAF会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。 增强的输入验证 增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。 及时补丁 修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。 来源： oschina 链接： https://my

.WebRTC后台服务: 通话的房间服务器(Room Server) 房间服务器是用来创建和管理通话会话的状态维护,是双方通话还是多方通话,加入与离开房间等等,我们暂时沿用Google部署在GAE平台上的AppRTC这个房间服务器实现,该GAE App的源码可以在github.com上获取.该实现是一个基于Python的GAE应用,我们需要下载Google GAE的离线开发包到我们自己的Linux服务器上来运行该项目,搭建大陆互联网环境下的房间服务器. 通话的信令服务器(Signaling Server) 信令服务器是用来管理和协助通话终端建立去中心的点对点通话的一个角色.这个角色要负责一下任务: 1. 用来控制通信发起或者结束的连接控制消息 2. 发生错误时用来相互通告的消息 3. 各自一方媒体流元数据，比如像解码器、解码器的配置、带宽、媒体类型等等 4. 两两之间用来建立安全连接的关键数据 5. 外界所能看到的网络上的数据，比如广域网IP地址、端口等 信令服务器的具体协议实现没有严格规定,只要实现功能就OK. 我们这里依然沿用Google提供的基于GO语言和WebSocket的信令服务器Collider.和上面的房间服务器一并在Github上可以获取.获取到我们自己的Linux服务器上用GO语言的运行环境来运行该信令服务器. 防火墙打洞服务器(STUN/TURN/ICE