防火墙

Firewalld 安全 OSI 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 硬件安全 机柜锁 网络安全 iptables firewalld selinux 服务安全 更新有漏洞的版本 nginx mysql redis 系统安全 没有公网ip，修改ssh默认端口号，禁用root远程登录。 公有云 安全组 第三方软件 硬件防火墙 waf防火墙 防DDOS攻击 漏洞注入 SQL注入 安全狗 知道创宇 牛盾云 1. Firewalld基本概述 ​ RHEL/CentOS 7系统中集成了多款防火墙管理工具，其中Firewalld（Dynamic Firewall Manager of Linux systems, Linux系统的动态防火墙管理器）服务是默认的防火墙配置管理工具，它拥有基于CLI（命令行界面）和基于GUI（图形用户界面）的两种管理方式。 ​ 那么相较于传统的Iptables防火墙，Firewalld支持动态更新,并加入了区域zone的概念。简单来说，区域就是Firewalld预先准备了几套防火墙策略集合（策略模板）,用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。 firewalld规则配置,从外访问服务器内部如果没有添加规则默认是阻止,从服务器内部访问服务器外部默认是允许的 注意: 一个网卡仅能绑定一个区域

防火墙和系统安全防护和优化 1.防火墙是什么 2.防火墙策略优化有什么用 3.防火墙的功能 4.基于linux系统如何进行优化及安全防护呢？ 1）服务器操作建议 2）Linux优化步骤 1.防火墙是什么 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。 2.防火墙策略优化有什么用 防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产 生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量 保证统一规划以提高设置效率，提高可读性，降低维护难度。 3.防火墙的功能 入侵检测功能 网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。 网络地址转换功能

查看防火墙 service iptables status 关闭防火墙 service iptables stop 查看防火墙开机启动状态 chkconfig iptables --list 关闭防火墙开机启动 chkconfig iptables off 来源： https://www.cnblogs.com/lovetl/p/12016173.html

目录 Firewalld防火墙安全、基本指令、区域配置 1. 防火墙安全基本概述 2. 防火墙使用区域管理 3. 防火墙基本指令参数 4.防火墙区域配置策略 Firewalld防火墙安全、基本指令、区域配置 安全 1.按OSI七层模型 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 安全公司： 安全狗 知道创宇 牛盾云 物理环境： 物理环境： 硬件安全 机柜上锁，避免电源被拔（UPS, 可以双电源），网线被拔（打标签） 温度，硬件检查 网络安全 （硬件防火墙（防DOS），软件防火墙 （iptables/firewalld/selinux （仅允许公司的IP地址能连接服务器的22端口））做规则限制 服务安全 更新有漏洞的版本 nginx mysql redis... 所有主机都没有公网ip,大大的降低被攻击的风险 系统安全 没有公网ip，ssh安全（修改ssh默认端口号），权限控制（禁用root远程登录）。 web nginx,apache必须对外，除了80/443端口，其他都不要对外 waf防火墙 防DDOS攻击 漏洞注入 SQL注入 云环境 硬件 无需关心 网络 硬件防火墙 --> 高防DDOS 软件防火墙---->安全组 系统 SSH安全、权限控制、更新补丁、安骑士、堡垒机 web SSL、阿里云提供WAF、云安全中心 数据 备份 敏感数据保护 安全公司： 安全狗

转载： https://www.cnblogs.com/Zhaols/p/6105926.html 一、主要丢包原因 1、接收端处理时间过长导致丢包：调用recv方法接收端收到数据后，处理数据花了一些时间，处理完后再次调用recv方法，在这二次调用间隔里,发过来的包可能丢失。对于这种情况可以修改接收端，将包接收后存入一个缓冲区，然后迅速返回继续recv。 2、发送的包巨大丢包：虽然send方法会帮你做大包切割成小包发送的事情，但包太大也不行。例如超过50K的一个udp包，不切割直接通过send方法发送也会导致这个包丢失。这种情况需要切割成小包再逐个send。 3、发送的包较大，超过接受者缓存导致丢包：包超过mtu size数倍，几个大的udp包可能会超过接收者的缓冲，导致丢包。这种情况可以设置socket接收缓冲。以前遇到过这种问题，我把接收缓冲设置成64K就解决了。 int nRecvBuf=32*1024;//设置为32K setsockopt(s,SOL_SOCKET,SO_RCVBUF,(const char*)&nRecvBuf,sizeof(int)); 4、发送的包频率太快：虽然每个包的大小都小于mtu size 但是频率太快，例如40多个mut size的包连续发送中间不sleep，也有可能导致丢包。这种情况也有时可以通过设置socket接收缓冲解决，但有时解决不了

centos7 # 开启 service firewalld start # 重启 service firewalld restart # 关闭 service firewalld stop 查看防火墙状态： systemctl status firewalld.service 绿的running表示防火墙开启 执行关闭命令： systemctl stop firewalld.service 再次执行查看防火墙命令：systemctl status firewalld.service 执行开机禁用防火墙自启命令 ： systemctl disable firewalld.service centos6 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # 永久关闭后重启 chkconfig iptables on 1、查看firewall服务状态 systemctl status firewalld 2、查看firewall的状态 firewall-cmd --state 3、开启、 重启、关闭、

前言：根据防火墙的规则，所以方便管理防火墙的端口，所以写了一个bat批处理脚本方便管理和控制，易于方便其他不懂防火墙规则的运维人员操作。直接上代码如下: @echo off mode con: cols=85 lines=30 rem color脚本颜色 color 0D cls echo.----------------------------防火墙设置----------------------------- echo. echo -----------------------禁用/启用tcp_udp端口-------------------------- echo. echo.(1:启用端口 2：禁用端口) echo. set start= set /p start= 请输入(1或者2)后按回车键: if "%start%"=="1" goto on_WIN2008 if "%start%"=="2" goto off_WIN2008 :on_WIN2008 set port_1= set /p port_1= 输入(1-65535)端口号后按回车键---启用端口: if "%port_1%" == "" goto on_win2008 sc config lanmanserver start= disabled netsh advfirewall set

nmap命令总结 https://www.cnblogs.com/chenqionghe/p/10657722.html 一、nmap是什么 nmap是一款网络扫描和主机检测的非常有用的工具，不局限于仅仅收集信息和枚举，同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于winodws,linux,mac等操作系统。Nmap是一款非常强大的实用工具,可用于： 作用： - 检测活在网络上的主机（主机发现） - 检测主机上开放的端口（端口发现或枚举） - 检测到相应的端口（服务发现）的软件和版本 - 检测操作系统，硬件地址，以及软件版本 - 检测脆弱性的漏洞（nmap的脚本） 二、使用说明 namp [扫描类型] [扫描参数] [hosts 地址与范围] 选项与参数： *** [扫描类型]*** ：主要的扫描类型有下面几种： -sT : 扫描TCP数据包已建立的连接connect() -sS : 扫描TCP数据包带有SYN卷标的数据 -sP : 以ping的方式进行扫描 -sU : 以UDP的数据包格式进行扫描 -sO : 以IP的协议(protocol)进行主机的扫描 [扫描参数]: 主要的扫描参数有几种： -PT : 使用TCP里头的ping的方式来进行扫描，可以获知目前有几台计算机存在(较常用) -PI : 使用实际的ping(带有ICMP数据包的)来进行扫描 -p :

RHEL7防火墙富规则删除 查看富规则列表 1.直接查看防火墙的富规则 语句为： firewall-cmd --list-rich-rules 查询效果如下图： 2.也可直接查看 所有的防火墙规则列表来查看富规则 语句：firewall-cmd --list-all 查询效果如下图： 删除富规则的指令格式为 firewall-cmd --remove-rich-rule '***' --permanent 其中 *** 表示完整的富规则 相当于你查询出来的列表中的富规则 例子： 我们需要删除红框内的已添加的富规则 可以看出 如果未添加 --permanent 选项，虽然显示删除成功，在重新加载防火墙规则后，该富规则依然存在 删除失败。 添加了 --permanent 选项后 再进行验证 成功删除需要删除的富规则。 来源： CSDN 作者： 今天你更博学了吗？ 链接： https://blog.csdn.net/csdn10086110/article/details/103462870

1 安装vsftpd组件 安装完后，有/etc/vsftpd/vsftpd.conf 文件，是vsftp的配置文件。 [root@bogon ~]# yum -y install vsftpd 2、FTP主动模式与FTP被动模式的端口说明 FTP是仅基于TCP的服务，不支持UDP。 与众不同的是FTP使用2个端口，一个数据端口和一个命令端口（也可叫做控制端口）。通常来说这两个端口是21（命令端口）和20（数据端口）。但FTP工作方式的不同，数据端口并不总是20。这就是主动与被动FTP的最大不同之处。 FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。 (一) FTP主动模式 主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N>1024）连接到FTP服务器的命令端口，也就是21端口。然后客户端开始 监听端口N+1， 并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1）。 针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式FTP： 1. 任何大于1024的端口到FTP服务器的21端口。（客户端初始化的连接） 2. FTP服务器的21端口到大于1024的端口。 （服务器响应客户端的控制端口） 3. FTP服务器的20端口到大于1024的端口。