防火墙

0x00 iptables介绍 linux的包过滤功能，即linux防火墙，它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间，是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为用户空间，它使插入、修改和除去信息包过滤表中的规则变得容易。 0x01 iptables的结构 iptables的结构： iptables -> Tables -> Chains -> Rules 简单地讲，tables由chains组成，而chains又由rules组成。iptables 默认有四个表Filter, NAT, Mangle, Raw，其对于的链如下图。 0x02 iptables工作流程 0x03 filter表详解 1. 在iptables中，filter表起过滤数据包的功能，它具有以下三种内建链： INPUT链 – 处理来自外部的数据。 OUTPUT链 – 处理向外发送的数据。 FORWARD链 – 将数据转发到本机的其他网卡设备上。 2. 数据流向场景 访问本机：在INPUT链上做过滤 本机访问外部：在OUTPUT链上做过滤 通过本机访问其他主机:在FORWARD链上做过滤 3. Iptables基本操作 启动iptables： service

搭建步骤 1、安装docker及docker-compose 2、编写dokcer-compose文件 并且启动 version: '3.7' services: gitlab: container_name: mygitlab image: 'gitlab/gitlab-ce:11.9.6-ce.0' restart: always hostname: 'yujuan.com' environment: - TZ=Asia/Shanghai ports: - '3080:80' - '3443:443' - '3022:22' volumes: - ./config:/etc/gitlab - ./logs:/var/log/gitlab - ./data:/var/opt/gitlab network_mode: "bridge" privileged: true docker-compose up -d 3、访问localhost:3080 进入GitLab页面 localhost:3080 我们首次进入时，会让初始化管理员的密码，这里初始化完成后使用 root/初始化密码 进入gitlab页面(如下)，按照对应的提示创建项目、创建用户、创建组即可 注意事项 权限问题 在构建镜像时，有时候会遇到权限不足导致gitlab启动失败的问题，如果遇到该错误，需要在docker

防火墙基本定义 防火墙本身需要具有较高的抗攻击能力，应设置于系统和网络协议的底层，访问与被访问的端口必须设置严格的访问规则，以切断一切规则以外的网络连接。其次，在建筑学上，建筑物的防火安全性，是由各相关专业和相应设备共同保证的。而在计算机系统上，防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。 功能: 入侵检测功能 网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。 网络地址转换功能 利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。 网络操作的审计监控功能

1*** .防火墙 *** 是什么 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。 作用： 1.保护脆弱的服务 通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。 2.控制对系统的访问 Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。 3.集中的安全管理 Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件

1、安装 yum install iptables-services #安装iptables 2、systemctl使用 systemctl unmask firewalld #执行命令，即可实现取消服务的锁定 systemctl mask firewalld # 下次需要锁定该服务时执行 systemctl start firewalld.service #启动防火墙 systemctl stop firewalld.service #停止防火墙 systemctl reloadt firewalld.service #重载配置 systemctl restart firewalld.service #重启服务 systemctl status firewalld.service #显示服务的状态 systemctl enable firewalld.service #在开机时启用服务 systemctl disable firewalld.service #在开机时禁用服务 systemctl is-enabled firewalld.service #查看服务是否开机启动 systemctl list-unit-files|grep enabled #查看已启动的服务列表 systemctl --failed #查看启动失败的服务列表 3、firewall-cmd使用

防火墙、出入站规则、主机名、hosts映射 文本关键字：防火墙、出入站规则、主机名、hosts映射 一、防火墙 1. 防火墙的作用 说到防火墙，大家多少能够知道，这是一种防御功能，能够起到网络上的防护作用。通常我们可以在系统中直接开启或者关闭防火墙，这将使我们的系统直接暴露在各种***之下，所以一般我们在学习阶段都是在虚拟机中关闭防火墙来模拟大部分软件的远程测试。 另外，除了个人计算机可以对防火墙进行设置外，网络管理员和网络运营商也可以直接对各级硬件设备进行防火墙（网络访问规则）的设置，如：路由器。 2. Windows防火墙开关 打开控制面板：查看方式处可以选择-类别，然后点击网络和Internet 选择：网络和共享中心 选择：Windows防火墙 选择：启用或关闭Windows防火墙 修改后点击确定 3. Linux防火墙开关 在root用户下使用setup命令，通过上下键进行选择，通过tab键快速切换至按钮 进入防火墙配置界面，通过空格键开启和关闭防火墙 修改完成后保存退出，通过这样的方式可以直接永久修改防火墙状态（重启不失效） 二、出入站规则 当我们从一台计算机访问一个网址或一台计算机发送请求时，都要通过一个具体的端口，如http协议（主要基于浏览器软件发起的访问）的默认端口号为：80，可以省略。那么这个过程中由两部分构成：由一台计算机向外发出请求，由目标计算机接收请求

2019寒假训练营第二次作业 一、学习视频课程：网络空间安全概论 第一章：网络空间安全概述 1.1绪论 我国网络空间安全面临严峻考验 网络空间安全包括人、机、物以及其中产生、处理、传输、存储的各种信息数据的安全 1.2网络框架安全威胁 网络空间安全框架 设备层威胁： 皮下植入RFID芯片，以触摸的形式入侵设备，窃取隐私信息。 通过分析计算机辐射电磁波，分析得到隐私数据（设备不联网不代表绝对安全）。 伊朗核电站虽然处在信息系统物理隔绝中，仍然遭到病毒袭击。 硬件木马：恶意电路，多出现于军事领域（不同与软件木马） 系统层威胁 SQL注入：把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串，以欺骗服务器，引起信息泄露。 恶意代码：特洛伊木马、计算机病毒 数据层威胁 免费WiFi 智能设备 蓝牙协议漏洞 应用层威胁 群发短信中内含危险网站，其域名与一些官网很相似。 利用充电桩窃取数据 1.3网络空间安全框架 网络空间安全包括许多基础维度： 设备安全、网络安全、应用安全、大数据安全、舆情分析、隐私保护、密码学及其应用、网络空间安全实战、网络空间安全治理等。 网络空间安全框架 设备层安全：物理、环境、设备安全 系统层安全：网络、计算机、软件、操作系统、数据库安全 数据层安全：数据、身份、隐私安全 应用层安全：内容、支付、控制、物联网、应用安全 网络空间安全需求 互联网治理问题

在使用树莓派的时候，我们可能受到这样的事情任务，需要为产品配置防火墙，只允许部分端口访问.....等此类需求。 其实树莓派上面配置基本的防火墙很简单，当然你如果是要精细化的去限制某些具体服务，端口等的访问，那就需要再深入研究一下。 本文简要就Raspberry内置的防火墙ufw设置和启用基本的一些使用做点描述； ufw是一个主机端的iptables类防火墙配置工具，比较容易上手。如果你有一台暴露在外网的树莓派，则可通过这个简单的配置提升安全性。 安装方法 sudo apt-get install ufw 当然，这是有图形界面的(比较简陋)，在新立得里搜索gufw试试…… 使用方法 启用 sudo ufw enable sudo ufw default deny 作用：开启了防火墙并随系统启动同时关闭所有外部对本机的访问（本机访问外部正常）。 关闭 sudo ufw disable 　　 查看防火墙状态 sudo ufw status 　　 开启/禁用相应端口或服务举例 sudo ufw allow 80 允许外部访问80端口 sudo ufw delete allow 80 禁止外部访问80 端口 sudo ufw allow from 192.168.1.1 允许此IP访问所有的本机端口 sudo ufw deny smtp 禁止外部访问smtp服务 sudo ufw

iptables firewalld 来源： CSDN 作者： ty19960816 链接： https://blog.csdn.net/ghczxc/article/details/103585390

一.系统安全保护 SELinux概述 • Security-Enhanced Linux – 集成到Linux内核(2.6及以上)中运行 – RHEL7基于SELinux体系针对用户、进程、目录和文件 提供了预设的保护策略,以及管理工具 SELinux运行模式的切换 • SELinux的运行模式 – enforcing(强制)、permissive(宽松) – disabled(彻底禁用) 任何模式进入到disabled(彻底禁用)，都要经历重起系统 • 切换运行模式 – 临时切换:setenforce 1|0 – 固定配置:/etc/selinux/config 文件 #下一次开机生效 – 查看当前运行模式:getenforce 虚拟机server： 1.当前临时修改 [ root@server0 ~ ] # getenforce #查看SELinux状态 [ root@server0 ~ ] # setenforce 0 #修改SELinux状态 [ root@server0 ~ ] # getenforce 2.固定配置 [ root@server0 ~ ] # vim /etc/selinux/config SELINUX = permissive 虚拟机desktop： 1.当前临时修改 [ root@desktop0 ~ ] # getenforce [ root