防火墙

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> iptables防火墙与NAT服务 一.防火墙的概述 1.简介 (1)设置在不同的网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性 (2)通过审查经过每一个数据包，判断它是否有相匹配的过滤规则，根据规则先后顺序一一进行比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作，若都不能满足，则将数据包丢弃，从而保护网络安全。 (3)可以是一台路由器，也可以是一台或一组主机构成，它通常被放置在公共网络入口处，所有内部外部网络通信数据包都必须经过防火墙，接受检查，只有符合安全规则的数据才允许通过。 (4)使用防火墙实现功能 A.可以保护易受攻击的服务 B.控制内外网络之间网络系统的访问 C.集中管理内网的安全性,降低管理成本 D.提高网络保密性和私有性 E.记录网络使用状态,为安全规划和网络维护提供依据.(根据图示讲解) 2.防火墙的分类 (1)包过滤防火墙 优点:速度快; 缺点:一旦被攻破,对数据包源/目标地址与IP端口很容易伪造,常见有 “IP地址欺骗”. (2)代理服务型防火墙 优点:用户请求访问某站点,代理服务器就会替用户去那个站点取回所 需信息,再转发给用户,相对前面的防火墙,要安全很多. 缺点:速度较慢 二.iptables简介 是一款免费的软件,可代替高价的防火墙解决方案

1 什么是SYN Flood攻击 　　在TCP三次握手时，服务器接收客户端的SYN请求，操作系统将为该请求分配一个TCP（Transmission Control Block），服务器返回一个SYN/ACK请求，并将处于SYN_RCVD状态（半开连接状态）。 　　从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。 　　SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一。 2 怎样发现自己处于被攻击状态 　　（1）服务端无法提供正常的TCP服务。连接请求被拒绝或超时； 　　（2）通过 netstat -an 命令检查系统，发现有大量的SYN_RECV连接状态。　　 3 防御措施 　　（1）使用TCP Wrapper，服务端只处理有限来源IP的TCP连接请求，其它未指定来源的连接请求一概拒绝。 　　（2）缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN

查询有哪些端口是开启的: [ root@centos7 ~ ] # firewall-cmd --list-port 开启端口 [ root@centos7 ~ ] # firewall-cmd --zone=public --add-port=80/tcp --permanent 重启防火墙： [ root@centos7 ~ ] # firewall-cmd --reload 查询端口号80 是否开启： [ root@centos7 ~ ] # firewall-cmd --query-port=80/tcp 命令含义： –zone #作用域 –add-port=80/tcp #添加端口，格式为：端口/通讯协议 –permanent #永久生效，没有此参数重启后失效 关闭firewall： systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 二、CentOS6防火墙开放端口： 在我们使用CentOS系统的时候，CentOS防火墙有时是需要改变设置的。CentOS防火墙默认是打开的，设置CentOS防火墙开放端口方法如下： 打开iptables的配置文件：vi /etc/sysconfig/iptables 修改CentOS防火墙时注意

1.开启防火墙 　　systemctl start firewalld 2.添加 　　firewall-cmd --zone=public --add-port=80/tcp --permanent 3.重新载入 　　firewall-cmd --zone= public --query-port= 80/tcp 4.删除 firewall-cmd --zone= public --remove-port= 80/tcp --permanent 命令含义： --zone #作用域 --add-port=80/tcp #添加端口，格式为：端口/通讯协议 --permanent #永久生效，没有此参数重启后失效 3.firewall-cmd --reload 附上防火墙的基本使用 1、firewalld的基本使用 启动： systemctl start firewalld 关闭： systemctl stop firewalld 查看状态： systemctl status firewalld 开机禁用 ： systemctl disable firewalld 开机启用 ： systemctl enable firewalld 2.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。 启动一个服务：systemctl

保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。防火墙作为公网 与内网之间的保护屏障，在保障数据的安全性方面起着至关重要的作用。 firewalld与iptables iptables firewall-cmd firewall-config TCP Wrappers 在生产环境公网条件下，黑客丛生、罪恶漫天，企业会在公网和内网之间砌一座保护墙，这个就叫做防火墙，有软件和硬件之分，其原理都是依据策略对穿越防火墙自身的流量过滤。 centos7 　　firewalld centos6 　　iptables iptables 与 firewalld 都不是真正的防火墙， 它们都只是用来定义防火墙策略的防火墙管理工具，是一种服务。 策略和规则链 防火墙会从上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作 并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配 项，就去执行默认的策略。一般而言，防火墙策略规则的设置有两种:一种是“通”(即放行)， 一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵)，就要设置允许规则(通)，否则 谁都进不来;如果防火墙的默认策略为允许时，就要设置拒绝规则，否则谁都能进来，防火墙 也就失去了防范的作用。 iptables 服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则 链

网络攻击事件常常会发生，黑客现在对于服务器的攻击频率更是要比以前高，因为通过攻击服务器，他们能够获取到信息来出售获得利益。 近年来，DDoS攻击已经危及不同的行业，金融、游戏行业尤其严重。黑客喜欢追逐金钱。因此，像荷兰银行那样资金充裕的金融部门更容易受到攻击。攻击使金融系统无法访问。原因可能是通常的赎金和敲诈勒索，更值得关注的是声誉受损和经济损失。更糟糕的是，商业竞争可能与此类攻击有关。随着网上银行的普遍使用以及电子货币市场的蓬勃发展，此类涉及天文数字损失的事件将DDoS攻击的流行带到国际关注的最前沿。 那么，黑客有哪些常用来攻击服务器的手段呢? 1、重新发送攻击 重新发送攻击就是指黑客收集特定的IP数据包篡改其数据，然后再将这些IP数据包一一重新发送，从而欺骗接收数据的目标计算机，实现攻击，破坏服务器安全。 2、伪造信息进攻 伪造信息进攻就是指黑客通过发送到伪造的路由器信息，构造源计算机和目标计算机之间的虚报途径，从而获取这些数据包中的银行账户密码等个人敏感信息。 3、数据驱动攻击 数据驱动攻击是指黑客向目标计算机发送或复制的表面上看来无害的特殊程序，被执行时所发起的攻击。该攻击可以让黑客在目标计算机上修改与网络安全有关的文件，从而使黑客在下一次更容易入侵该目标计算机。数据驱动攻击主要包括缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。 4

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 1、MySql远程访问需要的操作： 1.1 添加访问用户 1.2 开放防火墙的端口号 2、MySQL添加访问用户，增加权限： GRANT ALL PRIVILEGES ON *.* TO 'my_test'@'%' IDENTIFIED BY ' my_test '; FLUSH PRIVILEGES; 3、开放防火墙端口号 3.1 linux下开放端口 编辑防火墙配置文件：vi /etc/sysconfig/iptables 防火墙配置文件添加一条：-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT 重启防火墙：service iptables restart 3.2 windows下开放端口 1：控制面板-防火墙-高级设置-入站规则 2：新建规则-选择端口-选择TCP端口，填写mysql的端口，选择允许所有连接。 来源： oschina 链接： https://my.oschina.net/u/1269959/blog/603542

Centos升级到7之后，内置的防火墙已经从iptables变成了firewalld。所以，端口的开启还是要从两种情况来说明的，那就是iptables和firewalld。本文章参考官网教程基础 一、iptables 1.打开/关闭/重启防火墙 开启防火墙(重启后永久生效)：chkconfig iptables on 关闭防火墙(重启后永久生效)：chkconfig iptables off 开启防火墙(即时生效，重启后失效)：service iptables start 关闭防火墙(即时生效，重启后失效)：service iptables stop 重启防火墙:service iptables restartd 2.查看打开的端口 /etc/init.d/iptables status 3.打开某个端口(以8080为例) （1）开启端口 iptables -A INPUT -p tcp --dport 8080 -j ACCEPT （2）保存并重启防火墙 /etc/rc.d/init.d/iptables save /etc/init.d/iptables restart 4.打开49152~65524之间的端口 iptables -A INPUT -p tcp --dport 49152:65524 -j ACCEPT 同样，这里需要对设置进行保存，并重启防火墙。 5

Centos升级到7之后，内置的防火墙已经从iptables变成了firewalld Centos7默认安装了firewalld，如果没有安装的话，可以使用 yum install firewalld firewalld-config进行安装 1.启动防火墙 systemctl start firewalld 2.禁用防火墙 systemctl stop firewalld 3.设置开机启动 systemctl enable firewalld 4.停止并禁用开机启动 sytemctl disable firewalld 5.重启防火墙 firewall-cmd --reload 6.查看状态 systemctl status firewalld或者 firewall-cmd --state 7.查看版本 firewall-cmd --version 8.查看帮助 firewall-cmd --help 9.查看区域信息 firewall-cmd --get-active-zones 10.查看指定接口所属区域信息 firewall-cmd --get-zone-of-interface=eth0 11.拒绝所有包 firewall-cmd --panic-on 12.取消拒绝状态 firewall-cmd --panic-off 13.查看是否拒绝 firewall-cmd -

CentOS 7.0默认使用的是firewall作为防火墙，在安装某些软件的时候就需要关闭防火墙。 一、查看防火墙的状态 开启显示 running，关闭后显示 not running 执行命令 firewall-cmd --state 二、关闭防火墙 执行命令 systemctl stop firewalld.service 禁止防火墙在开机时启动 systemctl disable firewalld.service 三、开启防火墙 命令 systemctl start firewalld.service 防火墙在开机时启动systemctl enable firewalld.service 重启防火墙 systemctl restart firewalld.service centOS7以下版本： 查看防火墙的状态：service iptable status Active: inactive (dead) --表示防火墙已经关闭 servcie iptables stop --临时关闭防火墙 chkconfig iptables off --永久关闭防火墙 来源： CSDN 作者： MrMoving 链接： https://blog.csdn.net/java_lifeng/article/details/103879522