防火墙

entOS 7.0默认使用的是firewall作为防火墙 关闭firewall： systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 firewall-cmd --state #查看默认防火墙状态（关闭后显示notrunning，开启后显示running） 　　 将centos设置iptables防火墙 iptables防火墙（这里iptables已经安装，下面进行配置） vi/etc/sysconfig/iptables #编辑防火墙配置文件 # sampleconfiguration for iptables service # you can edit thismanually or use system-config-firewall # please do not askus to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT[0:0] :OUTPUT ACCEPT[0:0] -A INPUT -m state--state RELATED,ESTABLISHED -j

從第七章的圖 7.1-1 我們可以發現防火牆是整個封包要進入主機前的第一道關卡，但，什麼是防火牆？Linux 的防火牆有哪些機制？ 防火牆可以達到與無法達到的功能有哪些？防火牆能不能作為區域防火牆而不是僅針對單一主機而已呢？其實，Linux 的防火牆主要是透過 Netfilter 與 TCP Wrappers 兩個機制來管理的。其中，透過 Netfilter 防火牆機制，我們可以達到讓私有 IP 的主機上網 (IP 分享器功能) ，並且也能夠讓 Internet 連到我內部的私有 IP 所架設的 Linux 伺服器 (DNAT 功能)！真的很不賴喔！ 這一章對您來說，也真的有夠重要的啦！ 转自： http://linux.vbird.org/linux_server/0250simple_firewall.php 9.1 認識防火牆 　　9.1.1 開始之前來個提醒事項 　　9.1.2 為何需要防火牆 　　9.1.3 Linux 系統上防火牆的主要類別 　　9.1.4 防火牆的一般網路佈線示意 　　9.1.5 防火牆的使用限制 9.2 TCP Wrappers 　　9.2.1 哪些服務有支援 ： ldd 　　9.2.2 /etc/hosts.{allow|deny} 的設定方式 9.3 Linux 的封包過濾軟體： iptables 　　9.3.1 不同 Linux

1.开启防火墙端口 iptables -I INPUT -p tcp --dport 端口号-j ACCEPT #其他防火墙相关的 关闭防火墙命令：systemctl stop firewalld.service 开启防火墙：systemctl start firewalld.service 关闭开机自启动：systemctl disable firewalld.service 开启开机启动：systemctl enable firewalld.service 2.查看服务端口 netstat -ntlp 3.查询服务器内外网IP #内网 ifconfig -a #外网 curl ifconfig.me 来源： https://www.cnblogs.com/pythonywy/p/12542168.html

查看对外开放的端口状态 查询已开放的端口 netstat -anp 查询指定端口是否已开 firewall-cmd --query-port=666/tcp提示 yes，表示开启；no表示未开启。 查看防火墙状态 查看防火墙状态 systemctl status firewalld 开启防火墙 systemctl start firewalld 关闭防火墙 systemctl stop firewalld 开启防火墙 service firewalld start 若遇到无法开启先用：systemctl unmask firewalld.service 然后：systemctl start firewalld.service 对外开发端口 查看想开的端口是否已开：firewall-cmd --query-port=6379/tcp 添加指定需要开放的端口：firewall-cmd --add-port=123/tcp --permanent 重载入添加的端口：firewall-cmd --reload 查询指定端口是否开启成功：firewall-cmd --query-port=123/tcp 移除指定端口：firewall-cmd --permanent --remove-port=123/tcp 通过 iptables 处理 安装iptables-services : yum

Linux关闭防火墙 1） 永久性生效，重启后不会复原 开启：chkconfig iptables on 关闭：chkconfig iptables off 2） 即时生效，重启后复原 开启：service iptables start 关闭：service iptables stop 3)在开启了防火墙时，做如下设置，开启相关端口， 修改/etc/sysconfig/iptables 文件，添加以下内容： -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 来源： https://www.cnblogs.com/welcomer/p/5068296.html

iptables命令是Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。 1.语法介绍 iptables(选项)(参数) 2.选项介绍 -t<表>：指定要操纵的表； -A：向规则链中添加条目； -D：从规则链中删除条目； -i：向规则链中插入条目； -R：替换规则链中的条目； -L：显示规则链中已有的条目； -F：清楚规则链中已有的条目； -Z：清空规则链中的数据包计算器和字节计数器； -N：创建新的用户自定义规则链； -P：定义规则链中的默认目标； -h：显示帮助信息； -p：指定要匹配的数据包协议类型； -s：指定要匹配的数据包源ip地址； -j<目标>：指定要跳转的目标； -i<网络接口>：指定数据包进入本机的网络接口； -o<网络接口>：指定数据包要离开本机所使用的网络接口。 iptables命令选项输入顺序 iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作 表名包括 raw：高级功能，如：网址过滤。 mangle：数据包修改（QOS），用于实现服务质量。 net：地址转换，用于网关路由器。 filter：包过滤，用于防火墙规则。

目的： 1、为了通过阿里云服务器做服务器的外网映射而需要在阿里云服务器添加安全组端口外网访问 2、解决偶然发现添加安全组端口后，还是无法访问的解决方案 前置条件： 1、设置阿里云安全组端口 2、在本机cmd下，telnet IP+端口 (注：ip 后面是空格 + 端口号)，如果通则万事大吉，如果不通，则进行排查方案 排查方案（如有新的排查方向，后续补上）： 1.发现telnet不通的话，则考虑是否服务器防火墙的问题 1）查看所有信息，看添加的端口是否存在（注：ports后面的就是开放的对应端口） # firewall-cmd --list-all #注意权限问题 public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client ports: 1130/tcp 80/tcp 10051/tcp 5672/tcp 2）没有的话添加，例如添加18002端口 #firewall-cmd --zone=public --add-port=18002/tcp --permanent 3）重启防火墙 #firewall-cmd --reload 4）再次查看端口是否打开（如打开后，则完美解决） # firewall-cmd --list-all

一 文章名称：SDPA: Toward a Stateful Data Plane in Software-Defined Networking 发表时间：2017 期刊来源：IEEE,SIGCOMM 解决问题： 一、OpenFlow仅仅为SDN数据平面提供了单一的“匹配动作”范式，缺少带状态转发功能，这限制了支持高级网络应用的能力。过度地依赖于SDN控制器来维护状态导致两者的扩展性和性能问题。 二、OpenFlow集中在L2/L3层网络传输，控制平面对于带状态数据包处理的支持非常有限，若没有控制器参与，OpenFlow不能够对流状态进行监控。 三、由于在交换机与控制器之间相关联的处理延迟和控制渠道瓶颈,严重地依赖控制器来维持数据包的状态可能会导致两者的可扩展性和性能问题。 四、OpenFow旨在固定功能的交换机上实现预先定义的头字段和使用预先定义的动作处理数据包。头字段和动作不能够扩展灵活性以满足不同的应用需求。限制了SDN数据平面OpenFlow承诺的可编程性和可扩展性 五、P4在数据平面可编程性很强，但是不能支持带状态应用的直接的可编程，也不能为特别的高级带状态应用集中范式或者概念。另外P4缺少能够与数据平面应用相互作用，从而动态发布数据平面的配置的数据平面。 所做贡献： 一、提出一种新颖的带状态结构（SDPA），以支持SDN数据平面带状态应用的直观可编程和高性能处理

信息安全学习笔记（一）------防火墙技术 $1.定义： 位于可信网络之间与不可信网络之间并对二者进行流动的数据包进行检查的一台，多台计算机或路由器。 $2.防火墙的规则： 防火墙需要对内，外部网络之间的通信数据进行 筛选 ，那么其遵循的安全规则（安全策略）有如下两部分： 匹配条件：逻辑表达式，用于判断通信流量是否合法。 处理方式：接受，拒绝和丢弃。 即先判断是否符合规则，再决定如何处理。 $3.防火墙的优缺点： 1.优点： 可以完成整个网络安全策略的实施。防火墙可以把通信访问限制在可管理的范围内。 可以限制对某种特殊对象的访问，如限制某些用户对重要的服务器的访问。 审计功能。对网络连接的记录，历史记录，故障记录都有审计功能。 可以对有关人员发出警告。 使内部网络透明化。 2.缺点： 对于授权访问攻击，不经过它的攻击无效。 只对配置的规则有效，不能防止没有配置规则的访问。 不能防止针对设计有问题的系统的攻击。 $4.防火墙的核心技术： 包过滤技术 ：防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。可以根据数据包的源地址，目的地址，TCP/UDP源端口号，TCP/UDP目的端口号以及数据包包头的各种标志位等因素。其核心是安全策略的筛选规则设计的。 本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口 。例如，作为防火墙的设备可能有两块网卡(NIC)

网络边界（Network Border） 网络边界是指内部安全网络与外部非安全网络的分界线。 　　由于 网络 中的泄密、攻击、病毒等侵害行为主要是透过 网络边界 实现，网络边界实际上就是网络安全的第一道防线。网络攻击入侵者通过互联网与内网的边界进入 内部网络 ，篡改存储的 数据 ，实施破坏，或者通过某种技术手段降低网络性能，造成网络的瘫痪。 　　 把不同安全级别的网络相连接，就产生了网络边界 。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没有办法去“封杀”，一般来说 网络边界上的安全问题主要有下面几个方面： (信息泄密、入侵者的攻击、网络病毒、木马入侵) 1、 信息泄密 　　网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般 信息泄密 有两种方式： 攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密；合法使用者在进行正常业务往来时， 信息 被外人获得，这是从网络外部的泄密。 2、入侵者的攻击 　　互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改渠道，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。 3、网络病毒