防火墙

前言 nmap是一个免费的开源的应用程序，主要用来网络发现与安全扫描，本身设计师用来扫描大型网络，当然也可以扫描单个主机。nmap使用原始ip报文来发现网络上的主机，以及提供的服务，还有所用的系统版本等等nmap的功能相当强大，强烈推荐去阅读官方文档 官方文档链接 格式 nmap [ <扫描类型> …] [ <选项> ] { <扫描目标说明> } 返回状态 Nmap输出的是扫描目标的列表，以及每个目标的补充信息，至于是哪些信息则依赖于所使用的选项。“所感兴趣的端口表格”是其中的关键。那张表列出端口号，协议，服务名称和状态。状态可能是open(开放的)，filtered(被过滤的)，closed(关闭的)，或者unfiltered(未被过滤的)。Open(开放的)意味着目标机器上的应用程序正在该端口监听连接/报文。filtered(被过滤的) 意味着防火墙，过滤器或者其它网络障碍阻止了该端口被访问，Nmap无法得知 它是open(开放的) 还是closed(关闭的)。closed(关闭的) 端口没有应用程序在它上面监听，但是他们随时可能开放。当端口对Nmap的探测做出响应，但是Nmap无法确定它们是关闭还是开放时，这些端口就被认为是unfiltered(未被过滤的) 如果Nmap报告状态组合open|filtered 和 closed|filtered时

Debian原来用的是UFW防火墙，之前没接触过这种类型防火墙，这里记录一下简单的使用规则，后期在使用过程中慢慢完善UFW防火墙的使用操作方法； 安装ufw apt-get install ufw 查看防火墙现有规则： ufw status 开启/关闭防火墙： ufw enable //开启 ufw disable //关闭 开启指定tcp或者udp端口： ufw allow 22/tcp 同时开启tcp与udp端口： ufw allow 445 删除53端口： ufw delete allow 53 拒绝指定tcp或者udp端口： allow/deny 20/tcp allow/deny 20/udp 突出显示的输出表示网络接口名称。 它们通常被命名为eth0或enp3s2 。 因此，如果您的服务器具有名为eth0的公共网络接口，则可以使用以下命令允许HTTP流量（端口80 ）： sudo ufw allow in on eth0 to any port 80 这样做将允许您的服务器从公共互联网接收HTTP请求。 或者，如果您希望MySQL数据库服务器（端口3306 ）监听专用网络接口eth1上的连接，例如，您可以使用此命令： sudo ufw allow in on eth1 to any port 3306 这将允许专用网络上的其他服务器连接到MySQL数据库。 来源

1. 安装数据库 安装数据库有好几种方式，这里我是用 yum安装 这种安装方式比较简便，下面是相应的步骤： 1） 首先查看是否已安装：命令： # rpm -qa | grep mysql 如果已经安装了要删除， # rpm -e mysql 　　 // 普通删除模式 # rpm -e --nodeps mysql 　　 // 强力删除模式，如果使用上面命令删除时，提示有依赖的其它文件，则用该命令可以对其进行强力删除 2） 通过 yum 来进行 mysql 的安装 # yum list | grep mysql 就可以得到 yum 服务器上 mysql 数据库的可下载版本信息， 如果 centos 下 yum install mysql-server 没有可用包，可用命令下载包 ( 如果有相应的包，可用花括号外的步骤直接安装 ) ： { 1.# wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm; 2.# rpm -ivh mysql-community-release-el7-5.noarch.rpm 准备中 ... ################################# [100%] 正在升级 / 安装 ... 1:mysql-community-release-el7-5 #####

一、配置防火墙，开启80端口、3306端口 CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙。 1、关闭firewall： #停止firewall服务 systemctl stop firewalld.service #禁止firewall开机启动 systemctl disable firewalld.service 2、安装iptables防火墙 #安装 yum install iptables-services #编辑防火墙配置文件 vi /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp

　常用的文件操作： 查看目录下的文件：ll 查看目录下文件内容： cat 文件名字 颜色：蓝色代表目录；绿色代表可执行文件；红色代表压缩文件：灰色代表其他文件：浅蓝色代表链接文件 再Linux中创建递归目录中需要使用的命令为 mkdir -p test_o1/test_o2（代表的是再test_01中创建一个test_02文件夹） mv（重新命名）：mv 需要修改的文件夹名称 修改后的文件夹名称 pwd 查看当前目录的觉绝对路径 返回上一层目录，1.cd 后面跟上绝对路径 2. cd ..(代表返回上一层目录) 返回本层目录的根目录 cd ~（该命令可以实现直接跳转到跟根目录） 切换用户 su - 普通用户名称（管理员切换到普通用户，且不需要用户名密码。如果普通用户切换到管理员用户需要填写密码） Linux中键盘向上箭头可以查看上一个命令 tab建可以快速查看文件名称 Linux中删除文件：rm rm-r(删除目录，需要确认) rm-f（强制删除，无需确认） rm-rf（递归删除目录及其文件） 内容查看： cat 正序查看文本文件内容： tac 反序查看文件文本内容： 文件合并： cat 文件名1 文件名2 >文件名3 将文件2和文件1合并到文件3 文件行数查看:cat -b 文件名 打印行号 分屏显示：more tail 命令查看文件内容（动态的日志文件） tail -f

目录 linux防火墙 安全技术和防火墙 安全技术 防火墙的分类 netfilter 中五个勾子函数和报文流向 iptables 用法说明 Target iptables规则安排的基本原则 linux防火墙 安全技术和防火墙 安全技术 入侵检测与管理系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报告和事后监督为主，提供有针对性的指导措施和安全决 策依据。一般采用旁路部署方式 入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予 以阻断，主动而有效的保护网络的安全，一般采用在线部署方式 防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定 的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是 默认情况下关闭所有的通过型访问，只开放允许访问的策略 防火墙的分类 按保护范围划分： 主机防火墙：服务范围为当前主机 网络防火墙：服务范围为防火墙一侧的局域网 按实现方式划分: 硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：华为，

创建虚拟机 虚拟机配置Linux centOS 6 镜像文件 虚拟机配置Linux centOS 7 镜像文件 配置网路 防火墙 一、创建虚拟机 1 、点击“创建新的虚拟机” 2 、默认“典型”，点击“下一步” 3 、选择“稍后安装操作系统” 4 、选择“ Linux ”，版本选择“ CentOS 64 位” 5 、自己指定位置 6 、进入“指定磁盘容量”界面。默认虚拟硬盘大小为 20GB ，不做更改，直接点击“下一步” 7 、最后，点击“完成” 二、虚拟机配置Linux centOS 6 镜像文件 1、将下载好的Linux镜像文件载入进来 2、启动虚拟机，安装 3、此步为是否检测linux系统,我们选择"skip",跳过检测,并回车,进入图形界面，选择下一步. 4、点击“下一步”, 选择英文 5、系统默认语言选择中文。时区选项，选择"亚洲上海" 6、设置密码 7、Linux分区 Linux系统一般的分区原则： 1. /boot 分区大小一般6的给200M 2. swap交换分区一般是你的物理内存2倍 3. / 根分区尽可能大 6是ext4 5是ext3 3是ext2 centos7就变xfs 8、选择“格式化” 9、一般默认不动，点击“下一步”’ 10、一般安装 minial，我安装的是桌面版 三、虚拟机配置Linux centOS 7 镜像文件 1、先选择 CD/DVD

　　 一、当前防火墙技术分类 　　防火墙技术经历了包过滤、应用代理网关、再到状态 检测 三个阶段。 　　1.1 包过滤技术 　　包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息，如下图所示。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。 　　由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 　　包过滤防火墙具有根本的缺陷： 　　1．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管 知道 哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源IP包改成合法IP即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。 　　2．不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用FTP协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 　　3．不能处理新的安全威胁。它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时

详见： http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt280 防火墙是一个系统或一组系统，它在内网与Internet间执行一定的安全策略。典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关（或代理服务器）以及链路层网关。 防火墙的功能大体为以下五个方面： 1、通过防火墙可以定义一个关键点以防止外来入侵 2、监控网络的安全并在异常情况下给出报警提示 3、提供网络地址转换功能 4、防火墙可查询或登记Internet的使用情况 5、防火墙是为客户提供服务的理想位置，即在其上可以配置相应的服务，使Internet用户仅可以访问此类服务，而禁止对保护网络的其他系统的访问。 2.2.1 传统的边界防火墙 1、过滤式防火墙 包过滤是第一代防火墙技术，它主要包含了前面提到的包过滤路由器。这是一种通用、廉价、有效的安全手段。它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则丢弃。 它的优点很明显： Ø 它工作在网络层，所以效率高速度也很快而且它不用改动客户机和主机上的应用程序。 Ø 大多数防火墙配置成无状态的包过滤路由器，因而实现包过滤几乎没有任何耗费。 Ø 另外，它对用户和应用来说是透明的，每台主机无需安装特定的软件，使用起来比较方便。 不过它的缺点也很明显： Ø

　　防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，从而完成看似不可能的任务;仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严