防火墙

WAF 的核心技术在于对Web攻击防护的能力和对HTTP本质的理解。前者要求WAF能完整地解析HTTP，包括报文头部、参数及载荷;支持各种HTTP编码;提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备HTTP Response过滤能力。从降低安全风险的角度而言，后者要求WAF能有效影响攻击者因素中的机会、群体因子以及漏洞因素中的发现难易度、利用难易度、入侵检测与觉察度因子。 那么，WAF是如何防御Web攻击的？CSRF是一类被广泛利用的Web应用安全漏洞，该攻击通过伪造来自受信任用户的服务请求，诱使用户按照攻击者的意图访问网站信息，或者执行一些恶意的操作，比如登出网站，购买物品，改变账户信息，获取账号，或其他任何网站授权给该用户的操作等。 相对于使用特征集的静态防护，WAF所采用的动态防护机制更具智能性和灵活性。基本思路是通过 web应用防火墙 随机产生的隐含表单来打断一个不变的会话，也就是说即使攻击者获取到了用户身份，但是随机变化的验证码让攻击者无法构造一个不变的报文。 还有一类影响Web应用可用性的攻击也比较典型，即应用层 DDoS 攻击，习惯称为CC攻击。不同于网络层带宽耗尽型的DDoS攻击，此类攻击构思更为精巧，意在以相对较小的代价耗尽Web服务器侧的系统资源，如磁盘存储、数据库连接、线程等。

WAF不用于传统的防火墙，不止针对一些底层（网络层和传输层）的信息进行阻断，而是会深入到应用层，对所有应用信息进行保护。 web应用防火墙 是通过检测客户端和应用服务器之间的请求和响应内容来实现的。所以说，防火墙什么时候能检测，如何检测以及检测什么就变得很重要。 检测什么将决定其响应能力， WAF 应该能够检测请求/响应对象的所有组件，包括会话详细内容。如果应用有要求，例如限制用户会话数量，大多数WAF可以帮助实现。WAF应该提供可用的配置让管理员来轻松选择这些选项。如果企业对GET与POST如何使用有具体要求，或者对访问者进入网站的途径有特定要求，WAF也应该提供支持。 检测异常或恶意流量主要是基于以下几个模型，了解每个模型也很重要。 第一，如果WAF采用黑名单的做法，它只会阻止列表中包含已知攻击的请求。众所周知的攻击(例如SQL注入、拒绝服务和跨站脚本)通常包含容易检测的某些字符。黑名单很好用，只要WAF支持这种攻击方法。并且，由于威胁经常变化，必须保持黑名单的更新。 其二，如果WAF使用白名单的做法，它只会允许满足列表或配置中标准的请求。这种检测方法需要部署期间前端的更多工作，但通常这是更安全的方法，因为它会阻止一切没有被定义为可接受的事物。这两种方法都应该由企业的技术团队来配置。 另外WAF如何响应攻击或异常也很关键。WAF提供多种响应选项，这些选项在配置界面容易变更

前面的系列文章基本讲完了linux管理相关的基础知识，从本篇开始讲解centos7中服务程序的部署和配置，以便为外部提供各种服务。 日常工作和娱乐中，我们所需的各种资源都离不开网络以及各种服务，我们通过网络获取部署在其他服务器上的各种服务资源，这些服务包括文件服务、邮件服务、媒体服务等等。 一般情况下，我们使用计算机上网的一个重要目的就是为了获取资料，而文件传输则是获取资料的方式。因此，我们首先来了解下linux中文件传输相关的知识。 一、文件传输协议FTP 1.1 FTP产生背景 “无规矩不成方圆”，这说明了规则的重要性。同样，当今的互联网由成千上万台机器组成，这些机器包括个人计算机、工作站、服务器、巨型机等各种形形色色的设备，并且这些设备中使用的操作系统还不一样，有的可能是用的windows，而有的则是Linux或其他系统。 要在这么纷繁复杂的设备之间传输文件，那就必须要有一定的规则，大家都按规则办事，传输的文件才能相互识别，达到正确传递信息的目的。在这种背景下，为了解决文件传输的问题，文件传输协议应运而生。 1.2 FTP相关概念 文件传输协议（File Transfer Protocol，FTP），是一种在互联网中进行文件传输的协议，基于客户端/服务器模式，默认使用 20、21 号端口，其中20端口是数据端口用于进行数据传输，21端口为命令端口

一、window上 services.msc 找到Windows Firewall 右键关闭就可以啦 先禁用，再停止 二、linux上 刚安装linux系统后，可能会发生apache不能访问，mysql不能远程链接，ssh不能远程登陆，ftp不能链接上等问题，种种现象的发生和防火墙的配置都有一些直接原因。若是需要对linux防火墙设置需要什么命令吗？ 不过因为是新手，未必就能马上把防火墙学通。所以，对于初学者最好的方法是先关闭防火墙，等日后学了防火墙的配置规则后再去配置。 linux防火墙设置命令： 　　1、永久性生效，重启后不会复原： 　　开启： chkconfig iptables on 　　关闭： chkconfig iptables off 　　2、即时生效，重启后复原：这个需要配置系统服务。 　　开启： service iptables start 　　关闭： service iptables stop 　　 注： 需要说明的是对于linux下的其它服务都可以用以上命令执行开启和关闭操作。 　　 也可以做简单的修改， 在开启了防火墙时，做如下设置，开启相关端口，修改/etc/sysconfig/iptables 文件，添加以下内容： -A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j

1.详述iptables工作流程以及规则过滤顺序？ iptables是采用数据包过滤机制工作的，所以他会对请求的数据包的包头数据进行分析，并根据我们预先设定的规则来匹配进行相关操作。 当防火墙收到数据包时： 1.防火墙是一层一层的过滤的，规则顺序从上到下，从前到后进行归路 2.如果匹配上规则（ACCEPT,DROP）就不会再向下匹配了。 3.如果匹配规则没有明确表明是阻止或者是通过这个数据包，也就是没有匹配上规则，就会继续向下执行下一跳规则。 4.如果以上所有规则都不能匹配上，最后会执行默认规则。 2、iptables有几个表以及每个表有几个链？ 表和链（四表五链） 1.filter （过滤） 进行包过滤处理的一张表 2.nat （映射） 对数据地址信息进行转换/数据包端口信息进行转换 实现内网用户访问外网 实现外网用户访问内网 3.mangle （不常用） 对数据包信息进行标记 4.raw（不常用） 将数据包一些标记信息进行拆解 3、iptables的几个表以及每个表对应链的作用，对应企业应用场景？ iptables总的结构 iptables 其实是多个表（table）的容器，每个表里包含不同的链(chain)，链里边定义了不同的规则(policy)，我们通过定义不同的规则，来控制数据包在防火墙的进出。 iptables里的三大表 Filter 是默认的主机防火墙

安装 dnf install -y samba samba-client 开机启动 systemctl enable smb 立即启动 systemctl start smb 防火墙放行 firewall-cmd --permanent --add-service=samba 重新载入防火墙信息 使其生效 firewall-cmd --reload 查看 samba防火墙信息 firewall-cmd --info-service samba 查看所有防火墙放行的服务 firewall-cmd --list-services 来源： https://www.cnblogs.com/kooapk/p/12373134.html

先打开端口 firewall-cmd --zone=public --add-port=8888/tcp --permanent 命令8888就是端口，直接替换。 然后重启防火墙 firewall-cmd --reload 来源： CSDN 作者： loading-world 链接： https://blog.csdn.net/weixin_44037376/article/details/104534214

正向代理 正向代理(Forward Proxy)：代替客户端去访问服务器，代理的是客户端。 正向代理的作用 （1）访问本无法访问的服务器 比如说原本的链路 -> 网关1 -> 网关2 发生故障，或者zf、学校在网关上用防火墙屏蔽了一些网站，导致客户端不能访问服务器。 通过代理服务器可以访问服务器，v p n 的搭建即此原理。 （2）客户端访问授权 比如说内网的服务器上的内容是一些机密文件，只对内部的部分人员开放。 可以在内网设置代理，在代理的防火墙检查发起请求的客户端的地址，是某个部门、办公室的ip才放行，否则直接拦截掉。 （1）是在代理的防火墙中检测服务器地址，（2）是在代理的防火墙中检测发起请求的客户端地址。 （3）加速访问 可能网关1、网关2的带宽较小，网速慢，使用高带宽的代理服务器可以提高访问速度。 （4）cache作用 代理可以缓存服务器的数据，比如客户端A访问服务器的xx内容，后续某些客户端发起相同请求时，代理不再去访问服务器，直接从缓存中获取数据返回给客户端， 叫做cache命中，加快响应速度、减轻服务器负担。 （5）隐藏客户端 对服务器来说，客户端是代理，服务器的访问记录是代理，从而隐藏了原始客户端。 一般说的代理都是正向代理。 反向代理 反向代理（reverse proxy）：代理的是服务器。 正向代理是由客户端的公司|组织设置的、或者由第三方代理设置

安装步骤： 一、准备工作 1.解压文件 　　[root@localhost soft]# tar -zxvf hadoop-2.4.1.tar.gz 2.改名： 　　[root@localhost soft]# mv hadoop-2.4.1 hadoop 改名 3.关闭防火墙 　　iptables防火墙状态： service iptables status 　　开启防火墙： service iptables start 　　关闭防火墙： service iptables stop 　　service iptables stop #临时关闭，重启无效 　　chkconfig iptables off #永久关闭，重启生效 4.[root@master Desktop]# vi /etc/sysconfig/network 　　NETWORKING=yes 　　HOSTNAME=master 　　 注意：执行后需要重新启动linux，再进入桌面右键 Open in Terminal就进入master了 　　 5. 配置master 　　[root@master Desktop]# vi /etc/hosts //注意重启后是要root身份才可以write 　　192.168.119.129 master (本机ip地址，可以通过ifconfig查询 要都能平通) 　　 　　[root

基本命令： https://www.cnblogs.com/chencaiming/articles/10880833.html https://www.cnblogs.com/hellxz/p/9688044.html https://blog.csdn.net/qq_38892883/article/details/79709023 http://blog.itpub.net/29270124/viewspace-2611838/ 实例： https://blog.csdn.net/garyond/article/details/80196846?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task https://blog.whsir.com/post-167.html 来源： CSDN 作者： -25℃ 链接： https://blog.csdn.net/weixin_44003789/article/details/104525080