防火墙

firewalld的基本使用 启动： systemctl start firewalld 关闭： systemctl stop firewalld 查看状态： systemctl status firewalld 开机禁用 ： systemctl disable firewalld 开机启用 ： systemctl enable firewalld 　　 配置firewalld-cmd 查看版本： firewall-cmd --version 查看帮助： firewall-cmd --help 显示状态： firewall-cmd --state 查看所有打开的端口： firewall-cmd --list-ports 更新防火墙规则： firewall-cmd --reload 查看区域信息: firewall-cmd --get-active-zones 查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0 拒绝所有包：firewall-cmd --panic-on 取消拒绝状态： firewall-cmd --panic-off 查看是否拒绝： firewall-cmd --query-panic 开启端口 添加 firewall-cmd --zone=public --add-port=80/tcp -

Iptables Firewall：隔离工具，packets filter firewall(包过滤防火墙)；工作于主机或网络的边缘，对经由的报文根据预先定义的规则（匹配条件）进行检测，对于能够被规则匹配到的报文进行某预定义的处理机制的一套组件； 硬件防火墙：在硬件级别实现部分过滤功能的防火墙，另外一部分功能基于软件实现； 软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙； 主机防火墙：服务范围为当前主机； 网络防火墙：服务范围为防火墙背后的局域网； Iptables/netfilter: 防火墙是在内核中实现的； Netfilter：防火墙框架，framework；位于内核空间； Iptables：命令行工具程序，位于用户空间，仅仅是规则管理工具；说白了就是在netfilter的门上放检测机制的； Netfilter: Hooks function：钩子函数； Prerouting：路由之前 Input： Forward： Output： Postrouting：路由之后； Iptables： CHAINS链 PREROUTING INPUT FORWARD OUTPUT POSTROUTING 报文流向: 到本机某进程的报文先进入PEROUTING à INPUT 由本机转发的报文先进入PEROUTING à FORWARD à POSTROUTING

这篇文章内容关键详细介绍WAF的一些基本概念。WAF是专业为维护根据Web程序运行而设计的，我们科学研究WAF绕开的目地一是协助安服工作人员掌握渗透检测中的检测方法，二是可以对安全机器设备生产商出示一些安全提议，立即修补WAF存有的安全难题，以提高WAF的完备性和抗攻击能力。三是期待网站开发人员搞清楚并并不是布署了WAF就可以无忧无虑了，要搞清楚系统漏洞造成的直接原因，最好是能在代码方面上就将其修补。 一、WAF的界定 WAF(网站web运用服务器防火墙)是根据实行一系列对于HTTP/HTTPS的安全策略来专业为Web运用保护的一款安全防护产品。通俗化而言就是说WAF产品里融合了一定的检测标准，会对每一请求的內容依据转化成的标准开展检测并对不符安全标准的做出相匹配的防御解决，进而确保Web运用的安全性与合理合法。 二、WAF的原理 WAF的解决步骤大概可分成四一部分：预备处理、标准检测、解决控制模块、系统日志纪录。 1.预备处理 预备处理环节最先在接受到数据信息请求总流量时候先分辨是不是为HTTP/HTTPS请求，以后会查询此URL请求是不是在权限以内，假如该URL请求在权限目录里，立即交到后端开发Web服务器开展回应解决，针对没有权限以内的对数据文件分析后进到到标准检验一部分。 2.标准检验 每一种WAF产品常有自身与众不同的检验标准管理体系

1、网络配置 注：更改以上配置后需重启network服务 2、关闭防火墙的命令操作 首选检查防火墙状态#systemctl status firewalld.service 关闭防火墙：#systemctl stop firewalld.service 再次查看状态： 3、关闭SElinux的操作 临死关闭 #setenforce 0 永久关闭需修改配置文件 /etc/sysconfig/selinux 重启系统后生效 4、配置本地YUM源的步骤 首先将镜像挂载 将/etc/yum.repos.d目录下的文件删除 在/etc/yum.repos.d目录下新建配置文件 redhat.repo 编辑配置文件 添加如下： [redhat] name=redhat baseurl=file:///mnt enabled=1 gpgcheck=0 清空yum缓存 生成列表 来源： https://www.cnblogs.com/zmleasy/p/5944536.html

Juniper防火墙划分三个端口： 1.E0/0连接内网网络，网段是172.16.1.0/24，E0/0的端口ip地址是172.16.1.1，作为内网网络的网关 2.E0/1连接DMZ区域，网段是172.16.2.0/24，E0/1的端口ip地址是172.16.2.1，作为DMZ的网关 3.E0/2连接外网区域，网段是202.202.202.0/24，E0/2的端口ip地址是202.202.202.202，同时配置默认路由，指向202.202.202.1 划分为三个不同区域，策略如下： 1.E0/0是trust区域，trust区域能够访问DMZ和untrust区域 2.E0/1是DMZ区域，DMZ区域能够访问trust和untrust区域 3.E0/2是untrust区域，untrust区域能够访问DMZ区域 PC连接到交换机上，交换机的有个端口连接到Juniper防火墙的E0/0端口，PC的ip地址是172.16.1.5，网关是172.16.1.1，服务器连接到交换机上，交换机的有个端口连接到Juniper防火墙的E0/1端口，服务器的ip地址是172.16.2.5，网关是172.16.2.1配置完成后，出现了以下问题： 1.PC能够ping通172.16.1.1，也能够ping通202.202.202.202，也能够上网，但是不能ping通172.16.2.1 2

1. interface GigabitEthernet1/0/1 undo shutdown ip address 200.1.1.1 255.255.255.0 interface GigabitEthernet1/0/4 undo shutdown ip address 169.254.43.1 255.255.255.0 service-manage enable #进入到管理模式 service-manage all permit #允许所有 （service-manage http permit service-manage https permit service-manage ping permit service-manage ssh permit service-manage snmp permit service-manage telnet permit） firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/2 add interface GigabitEthernet1/0/4 # firewall zone untrust

一：防火墙部署 　　防火墙常见的部署有三种：透明模式也叫桥模式、路由模式也叫网关模式或三层模式、NAT模式。 （1）透明模式（桥模式）： 　　　　最简单的网络由客户端和服务器组成，客户端和服务器处于同一网段。为了安全方面的考虑，在客户端和服务器之间增加了防火墙设备，对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器，服务器将响应返回给客户端，用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址，当对网络进行扩容时无需对网络地址进行重新规划，但牺牲了路由、VPN等功能。 　　　　个人理解简化：防火墙在客户端和服务器之间相当于连通的线，对所流经的流量进行完全控制（拦截和过滤）。 （2）路由模式（网关模式或三层模式）： 　　　　适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的私密性。 　　　　个人理解简化：防火墙相当于一个路由器，控制内外网两个网段的通信流量，同时实现安全隔离。 （3）NAT模式： 　　　　NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后

《Huawei防火墙透明模式下做双向NAT典型配置》 点击阅读: 《Huawei防火墙透明模式下做双向NAT典型配置》 来源： https://www.cnblogs.com/sillycuckoo/p/12630368.html

防火墙虚拟化技术 防火墙虚拟化介绍 什么是虚拟化 一虚多：一台物理机上面逻辑划分出多个虚拟机，每个虚拟机有自己的软件和硬件资源。可以提示系统资源利用率、节省硬件成本、能耗、空间等等 多虚一：以交换机的虚拟化为例，通过物理连线，将多个交换机堆叠成一个交换机，能提升其可靠性并降低运维成本 防火墙的虚拟化  防火墙的虚拟化，就是将一台物理防火墙，从逻辑上划分为多台虚拟防火墙，但是共享CPU、内存等物理资源；不同的虚拟防火墙之间，配置、转发完全隔离，从而实现功能定制、个性化管理以及资源的最大化利用 虚拟防火墙  上一代防火墙的虚拟化是完全依赖于***实例实现的。***-instance有独立的安全区域、路由表。通过绑定不同的接口，就相当于有了一台独立的防火墙。防火墙的基本要素，能实现路由转发、能实现基于安全区域的策略配置 虚拟系统  下一代防火墙不再是完全依赖于***实例，而是改为了VSYS，即Virtual-system。为什么不叫虚拟防火墙了？因为我们要抛弃防火墙这硬件的概念，用系统这种逻辑概念来定义防火墙的虚拟化 从VFW到VSYS  虚拟化就是为了让管理员觉得自己得到了一台真实的防火墙，那如何才能让管理员感受到这点呢 a) 要有自己独立的管理员账号和独立的配置界面。在上一代防火墙上，这一点也勉强算是做到了，但做的不够好。因为很多功能并不能在虚拟防火墙独立的配置界面下完成

1.Centos 7 　　关闭防火墙：systemctl stop firewalld 　　打开防火墙：systemctl start firewalld 　　查看防火墙开启信息：systemctl status firewalld 　　关闭开机启动防火墙：systemctl disable ffirewalld 　　关闭状态查询： 　　 　　开启状态查询： 　　 2.Centos6 　　查看防火墙状态：service iptables status 　　停止防火墙：service iptables stop 　　启动防火墙：service iptables start 　　重启防火墙：service iptables restart 　　永久关闭防火墙：chkconfig iptables off 　　永久关闭后重启：chkconfig iptables on 返回目录 来源： https://www.cnblogs.com/dan2/p/12625588.html