防火墙

今天在阿里云的服务器上测试一个Flask程序，命名指定了 ip：0.0.0.0，port：5000，但是外网IP确怎么也访问不了网页 上网上好个查，发现阿里云的服务器端口开放需要去阿里云的“ 安全组配置 ”开放相应端口，才能正常使用； 这步操作大家可以直接百度“ 阿里云开放端口 ”就可以百度到具体操作 但是经过开放端口后，发现用5000端口的程序还是不能正常访问，而用80端口的网站却是可以正常访问；上网上疯狂查找最后发现，虽然阿里云那里把端口开放了，但是系统里并没有允许端口通过防火墙，算是一种安全措施吧；接下来，我根据网上查到的命令让5000-6000端口通过防火墙，就可以正常访问Flask页面了 防火墙相关命令 1.systemctl start firewalld.service（开启防火墙） 2.systemctl stop firewalld.service（开启防火墙） 3.service firewalld restart（从启防火墙） 4.firewall-cmd --zone=public --add-port=4400-4600/udp --permanen(指定端口范围为4400-4600通过防火墙) Warning: ALREADY_ENABLED: 3306:tcp（说明3306端口通过成功） 5.firewall-cmd --zone=public -

防火墙 防火墙是指设置在不同安全等级网络之间的一系列部件的组合，也可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部的信息、结构和运行状况，以此来实现内部网络的安全保护，在逻辑上，防火墙是一个分离器，一个限制器，一个分析器。有效的监控不同安全等级网络之间的数据流量。 防火墙是可以是硬件设备也可以是软件设备，主要串联在内外网之间，有双向监督的功能。目前主流为“下一代新型防火墙”，新型防火墙注重应用层防护。 防火墙分类及原理 1、包过滤技术 包过滤技术是一种简单、有效的安全控制技术，它工作在网络层，通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。 包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。 2、应用代理技术 应用代理防火墙工作在OSI的第七层，它通过检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。 应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外

防火墙的配置与acl相关配置 拓扑图如下（学号14）： 配置静态路由： R1(config)#int f0/0 R1(config-if)#ip address 10.14.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#int f0/1 R1(config-if)#ip address 14.14.2.1 255.255.255.0 R1(config-if)#no shutdown R4(config)#ip route 10.14.1.0 255.255.255.0 14.14.2.1 R3(config)#ip route 14.14.2.0 255.255.255.0 10.14.1.1 R2(config)#ip route 14.14.2.0 255.255.255.0 10.14.1.1 测试网络是否Ping通： R1pingR4 R2pingR4 标准acl R4(config)#access-list 1 deny 10.14.1.2 0.0.0.0 R4(config)#int f0/1 R4(config-if)#ip access-group 1 in R4(config-if)#end 自反acl R1(config)#ip access-list extended come R1

WAF Web Application Firewall的缩写为“WAF”，中文意思“Web应用防火墙”，也称“网站应用级入侵防御系统”。WAF是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备。 WAF部署在web服务器前面，串行接入，主要技术是对入侵的检测能力，尤其是对Web服务器入侵的检测能力。常见的实现形式包括代理服务、特征识别、算法识别、模式识别。 　　代理服务：本身是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，对DDOS攻击可以抑制，对非预料的“特别”行为也有所抑制。 　　特征识别：识别出入侵者是防护它的前提。特征是攻击者的“指纹”，如溢出时的shellcode，SQL注入中常见的“真表达（1=1）”。 　　算法识别：对SQL注入、DDOS、XSS等相应算法进行语义识别。 　　模式匹配：IDS中古老的技术， 把攻击行为归纳成一定模式，匹配后能确定是入侵行为。协议模式是其中简单的，是按标准协议的规程来定义模式，行为模式就复杂一些。 WAF从形态上可分为硬件WAF、WAF软件和云WAF。 　　硬件WAF ： 通常串行部署在Web服务器前端，用于检测、阻断异常流量。通过代理技术代理来自外部的流量，并对请求包进行解析，通过安全规则库的攻击规则进行匹配，如成功匹配规则库中的规则，则识别为异常并进行请求阻断。 　

原文地址： https://www.jianshu.com/p/d28ee2cfb1ee 查看对外开放的端口状态 查询已开放的端口 netstat -anp查询指定端口是否已开 firewall-cmd --query-port=666/tcp 提示 yes，表示开启；no表示未开启。 添加端口 firewall-cmd --zone=public --add-port=8080/tcp --permanent （--permanent永久生效，没有此参数重启后失效） 刷新规则 firewall-cmd --reload 查看指定端口 firewall-cmd --zone=public --query-port=8080/tcp 删除指定端口 firewall-cmd --zone=public --remove-port=8080/tcp --permanent 查看已开放得所有端口 firewall-cmd --list-ports 查看防火墙状态 查看防火墙状态 systemctl status firewalld 开启防火墙 systemctl start firewalld 关闭防火墙 systemctl stop firewalld 若遇到无法开启 先用：systemctl unmask firewalld.service 然后：systemctl start

一、Elasticsearch的安装 （一）前言 年前在公司，因为公司的生产环境使用到了Elasticsearch搜索引擎，所以自己也正好利用这个机会想深入地学习一下Elasticsearch搜索引擎，于是就利用我自己的云服务器对Elasticsearch进行了安装。但在安装的过程中并不一帆风顺，也遇到了种种的小问题。所以自己花费了一些时间梳理了一下安装过程中可能遇到的问题以及如何进行解决，也方便其他朋友后续更快速的安装使用。 （二）安装 下载地址 elasticsearch-6.3.2.tar.gz 我安装的就是6.3.2版本，若想下载，请点击此处寻找6.3.2版本即可 解压安装包 从官网下载elasticsearch-6.3.2.tar.gz完成之后，上传到服务器/soft目录，并通过 tar -vxf elasticsearch-6.3.2.tar.gz shell命令进行解压 修改elasticsearch.yml配置文件 vi / soft / elasticsearch - 6 . 3 . 2 / config / elasticsearch . yml 4. 重新分配jvm空间 若未重新分配jvm空间，会报如下内存不足错误： Java HotSpot(TM) 64-Bit Server VM warning: INFO: os::commit_memory

1 hadoop搭建无论是伪分布式还是集群，都要关闭防火墙，关闭原因是什么？ 集群其实现在没什么安全性考虑的 因为都是内网搭建的，对外还有一个服务器的，那个服务器有防火墙，由它来访问内网集群，如果内网内开启防火墙，内网集群通讯会出现很多问题。 在部署hadoop时，好多资料上都写了要关闭防火墙，如果不关闭可能出现节点间无法通信的情况，于是大家也都这样做了，因此集群通信正常。当然集群一般是处于局域网中的，因此关闭防火墙一般也不会存在安全隐患 来源： 51CTO 作者： wxbo1 链接： https://blog.51cto.com/9153232/2318194

自带命令行客户端 命令格式 ./redis-cli -h 127.0.0.1 -p 6379 修改 redis配置文件 （解决 IP绑定问题） # bind 127. 0.0.1 绑定的 IP才能访问redis服务器，注释掉该配置 protected-mode yes 是否开启保护模式 ， 由 yes该为no l 默认方式 如果不指定主机和端口也可以 ./redis-cli * 默认主机地址是 127.0.0.1 * 默认端口是 6379 连接超时解决 远程连接 redis服务，需要关闭或者修改防火墙配置。 修改防火墙设置： 第一步：编辑 iptables vim /etc/sysconfig/iptables 在命令模式下，选定要复制的那一行的末尾，然后点击键盘 yyp，就完成复制，然后修改 l 第二步：重启防火墙 service iptables restart iptables：清除防火墙规则： [确定] iptables：将链设置为政策 ACCEPT：filter [确定] iptables：正在卸载模块： [确定] iptables：应用防火墙规则： [确定] 　 多 数据库支持 默认一共是 16 个数据库，每个数据库之间是 相互隔离 （但是可以使用 flushall一次清空所有的库） 。数据库的数量是在 redis.conf中配置的。 　 切换数据库使用命令

一、配置防火墙，开启80端口、3306端口 CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙。 1、关闭firewall： systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、安装iptables防火墙 yum install iptables-services #安装 显示ok以后，就表示已经安装成功，那么就继续执行下面 vi /etc/sysconfig/iptables #编辑防火墙配置文件 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m

以前遇见过，只是将https改成http就可以了，所以也就没怎么管了，直到自己买电脑，我也是按照以前的方法改地址，但是没用用。 我就查询博客，说要关闭防火墙，我也关了，也没用效果，刚开始是连我手机的热点的，然后我就换了给网络（关闭防火墙的基础上），莫名奇妙就好了，真是坑啊，然后吧防火墙关了，也是可以的，如果不可以，到这里设置一下，网络上应该有相关的博客，这里就不多说了，一般这个会自动设置允许的。 来源： CSDN 作者： No need for charity 链接： https://blog.csdn.net/limpiditysky/article/details/104117618