防火墙

版权声明：本内容为原创内容，转载请声明出处。 原文地址： http://www.excelib.com/article/286/show 要 想真正用活防火墙，首先需要弄明白防火墙到底是什么、起什么作用，只有这样才能用的得心应手，不过由于历史原因，现在普遍对防火墙概念的理解有一 定的误区，这就影响了对防火墙的灵活使用，所以在正式学习firewalld之前学生先给大家介绍一下防火墙的本质到底是什么。 “防火墙”到底是什么 “防火墙”在我国最早是一种建筑，他又叫“封火墙”，其主要作用就是防火，因为那时候的建筑都是以木质结构为主，而且又非常密集，所以一个住宅着火就很容易传播到邻近的住宅，最初的防火墙就是在这种木质结构上涂上灰泥从而达到将火源隔断的目的。 网络中的防火墙来源于英文单词“firewall”的翻译，有时候也叫“网络防火墙”，不过这个词使用的并不是非常准确，这也就导致了对防火墙的普遍误解。 一 想到防火墙大家的第一印象大概就是“隔离”，而且很多防火墙的资料也是这么介绍的，比如“将内网和外网进行隔离”、“将本地电脑和外部网络隔离” 等等， 而且有时候还会配一张示意图，图中的防火墙就是一堵墙。以前学生在刚接触防火墙的时候心里就产生了一些疑问：既然防火墙已经将网络给隔断了，那么正常的通 信是怎么进行的呢？是可以穿墙而过还是需要从其他通道进入呢？而且，当时学生甚至认为防火墙是用来防病毒的

背景 某集团经过多年的经营，公司业务和规模在不断发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成，IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分： 楼宇智能化规划和建设方案：主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。 企业IT基础架构规划和解决方案：主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。 本方案主要是针对某集团企业IT基础架构进行规划，并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。 企业IT架构 一般企业的IT架构情况，本方案主要针对IT基础架构部分进行规划，并提供选型和部署参考，关于企业IT业务应用系统部分的规划和建设请参考其它方案。 网络系统规划 当前，企业一般能给信息化方面投入有限。除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实施能力等都普遍较弱，这就要求网络架构成熟、稳定安全、高可靠、高可用，尽可能少投入人力和金钱进行维护。其次，由于企业首要解决的是生存问题，根本没办法做到“先信息化，再做业务”，因此网络建设实施要求必须容易，实施时间必须极短。

安全策略  包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流，其中源IP地址、目的IP地址、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组，统防火墙根据五元组的包过滤规则来控制流量在安全区域间的转发  下一代防火墙的安全策略不仅可以完全替代包过滤的功能，还进一步实现了基于用户和应用的流量转发控制，而且还可以对流量的内容进行安全检测和处理，在源/目的安全区域、时间段、用户、应用等多个维度对流量进行了更细粒度的控制 安全策略与包过滤的区别 安全策略原理  防火墙的基本作用是保护特定网络免受“不信任”的网络的***，但是同时还必须允许两个网络之间可以进行合法的通信  安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙  安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略  控制各个区域之间流量通信，默认所有区域之间不能通信 默认的安全策略是deny <FW1>display security-policy all 11:30:03 2019/06/16 Total:1 RULE ID RULE NAME STATE ACTION HITTED -------------------------------------

CentOS 7.0中已经没有service命令，而是启用了systemctl服务器命令 systemctl 是系统服务管理器命令，它实际上将 service 和 chkconfig 这两个命令组合到一起。 如： centos7 安装以后，启动服务以及关闭服务已经不是以前的service stop/start xxxx了。 看所有网卡IP地址——ip addr 启动防火墙——systemctl start firewalld.service 停止防火墙——systemctl stop firewalld.service 查看firewalld防火墙状态——firewall-cmd --state 禁止防火墙开机启动——systemctl disable firewalld.service 列出正在运行的服务状态——systemctl 启动一个服务—— systemctl start postfix.service 关闭一个服务—— systemctl stop postfix.service 重启一个服务：—— systemctl restart postfix.service 显示一个服务的状态—— systemctl status postfix.service 在开机时启用一个服务—— systemctl enable postfix.service 在开机时禁用一个服务——

主要功能：探测主机是否在线、扫描主机开放端口和嗅探网络服务，用于网络探测和安全扫描。 NMap支持很多扫描技术，例如：UDP、TCPconnect()、TCPSYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、SYN扫描和null扫描。 命令格式：Nmap [ 扫描类型 ] [ 通用选项 ] { 扫描目标说明 } 扫描类型: -sT TCP connect()扫描，这是最基本的TCP扫描方式，用来建立一个TCP连接，如果成功则认为目标端口正在监听，否则认为目标端口没有监听程序。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。 -sS TCP同步扫描(TCP SYN)，只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口没有监听程序。所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。 -sF,-sX,-sN 秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包，通过这种扫描，可间接用于检测防火墙的健壮性。 -sP ping扫描

防火墙的静态路由 常见路由协议概述  静态路由，静态路由多出口  动态路由  按作用范围分为 1) IGP路由：RIP、OSPF、ISIS 2) EGP路由：BGP  按使用算法分为 3) 链路状态协议：OSPF、ISIS 4) 距离矢量协议：RIP、BGP  策略路由、ISP选路 路由协议优先级  当存在多个路由信息源时，具有最高优先级的路由协议发现的路由将成为当前路由  默认在华为中，动态优先级优于静态 静态路由基本概念  配置静态路由可以在路由选择中实施非常精确的控制，但是当网络发生变化或故障时需要管理员重新进行手工配置 语法： ip route-static 目标地址 掩码 下一跳地址 出接口 出接口+下一跳（推荐）  静态路由可以指定出接口或指定下一跳地址  指定出接口场景 1) PPP接口 2) PPPoE接口  指定下一跳地址场景 1) NBMA接口 2) 以太网接口 3) Virtual-template 静态路由与多出口  多出口指的是USG通过多个接口连接到Internet或其他网络，多个接口之间形成主备备份或负载分担关系，从而提高了业务的可靠性  多出口功能生效的前提条件是USG上存在多条等价路由  多出口支持的模式有  主备模式  负载分担模式 1) 均衡式负载分担（缺省模式） 2) 溢出式负载分担 主备模式 

本教程安装的版本号如下 下载地址 链接：https://pan.baidu.com/s/1yMFQ-any_lmXvOJWBi1MIw 提取码：oher 复制这段内容后打开百度网盘手机App，操作更方便哦 其他版本可以到官网上进行对应的下载 https://www.rabbitmq.com/ ※※特别注意 ※※ 1.安装rabbitmq之前需要安装erlang，并且两者需要对应的版本， 参考官网 https://www.rabbitmq.com/which-erlang.html 2.在安装之前，一定要关闭防火墙，否则后续将无法登录管控台 查看防火墙状态 关闭防火墙 到此，防火墙已经关闭完成 在software下上传安装包 安装erlang rabbitmq-server需要socat依赖 socat需要tcp_wrappers依赖 安装tcp_wrappers 安装socat 安装rabbitmq-server 修改配置文件 vim /usr/lib/rabbitmq/lib/rabbitmq_server-3.6.5/ebin/rabbit.app loopback_users 中的 <<"guest">>,只保留guest 启动rabbitmq-server服务 rabbitmq-server start & 其中&表示在后台启动 安装lsof 5672为通信端口号

1, 信息系统安全属性 最小授权原则：我们再给某人授权时，为了保证他的工作能够顺利进行，不要给他过多的授权 反暴露：例：为了防止别人破解我们的数据库，就把数据库命名成非标准的扩展名的数据库。 数据库的一个安全隐患，一旦有人知道数据库的位置，文件名，就可以把数据库给当下来，因此把数据库的扩展名设置成不规则的扩展名，文件名也是很长很奇怪的名字 信息加密：及时被截获，也无法获得原始信息 物理保密：发送时加密，接收时自动解密。 完整性：信息从一个节点发送到另一个节点信息不可以发生改变【防止他人截获信息，篡改信息】 可以使用安全协议，或校验码来 可用性：合法用户可以使用合法的方式来用到相应的资源。【DDOS攻击破坏的就是服务器的可用性】 不可抵赖性主要手段就是数字签名，签名可以识别发送者的身份，发送者不可抵赖。 2, 对称加密技术 在加密和解密的时候使用的密钥一样 (1) ，非对称的加密技术 公钥加密，私钥解密。或者，私钥加密，公钥解密。 (2) ，我们使用的RAR 的压缩包，pdf ，word 都可以加密码，他们都属于对称的加密技术【加密解密密钥相同】 (3) ，常见的对称技术加密算法 DES算法加密过程采用的手段主要是替换+移位的方式 替换：会有个密码表，保存了明文密文的对应关系，直接查表，翻译。【很普遍】 移位：一旦移位就会导致字母跟原来的情况完全不一样【常用】

转自： http://www.phpweblog.net/killjin/archive/2008/01/06/2653.html 目录 开场白 基础 主动FTP 主动FTP的例子 被动FTP 被动FTP的例子 总结 参考资料 开场白 处理防火墙和其他网络连接问题时最常见的一个难题是主动FTP与被动FTP的区别以及如何完美地支持它们。幸运地是，本文能够帮助你清除在防火墙环境中如何支持FTP这个问题上的一些混乱。 本文也许不像题目声称的那样是一个权威解释，但我已经听到了很多好的反馈意见，也看到了本文在许多地方被引用，知道了很多人都认为它很有用。虽然我一直在找寻改进的方法，但如果你发现某个地方讲的不够清楚，需要更多的解释，请告诉我！最近的修改是增加了主动FTP和被动FTP会话中命令的例子。这些会话的例子应该对更好地理解问题有所帮助。例子中还提供了非常棒的图例来解释FTP会话过程的步骤。现在，正题开始了... 基础 FTP是仅基于TCP的服务，不支持UDP。 与众不同的是FTP使用2个端口，一个数据端口和一个命令端口（也可叫做控制端口）。通常来说这两个端口是21－命令端口和20－数据端口。但当我们发现根据（FTP工作）方式的不同数据端口并不总是20时，混乱产生了。 主动FTP 主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N>;1024）连接到FTP服务器的命令端口

linux防火墙查看状态firewall、iptable 一、iptables防火墙 1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # 永久关闭后重启 chkconfig iptables on　　 2、开启80端口 vim /etc/sysconfig/iptables # 加入如下代码 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 保存退出后重启防火墙 service iptables restart 二、firewall防火墙 1、查看firewall服务状态 systemctl status firewalld 出现Active: active (running)切高亮显示则表示是启动状态。 出现 Active: inactive (dead)灰色表示停止，看单词也行。 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 #