防火墙

安全技术 入侵检测与管理系统IDS（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报告和事后监督为主，提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式。 入侵防御系统IPS（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式。 防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。 防火墙的分类 防火墙的分类 （1）主机防火墙：服务范围为当前主机 网络防火墙：服务范围为防火墙一侧的局域网 （2）硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：Checkpoint，NetScreen 软件防火墙：运行于通用硬件平台之上的防火墙的应用软件 （3）网络层防火墙：OSI模型下四层 应用层防火墙/代理服务器：代理网关，OSI模型七层 网络层防火墙 包过滤防火墙 网络层对数据包进行选择

网络防火墙 iptables/netfilter网络防火墙： (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题： (1) 请求-响应报文均会经由FORWARD链，要注意规则的方向性 (2) 如果要启用conntrack机制，建议将双方向的状态为ESTABLISHED的报文直接放行 实战演练： 环境准备： A主机：192.168.37.6（NAT模式，做内网） B主机：192.168.37.7（NAT模式），172.16.0.7（桥接模式）B主机作为防火墙 C主机：172.16.0.17（桥接模式，做外网） （1）在A主机修改IP地址 [root@centos7network-scripts]#cat ifcfg-ens33 DEVICE=ens33 BOOTPROTO=static IPADDR=192.168.37.6 PREFIX=24 GATEWAY=192.168.37.7 ONBOOT=yes （2）修改B主机的NAT模式IP地址配置文件 [root@centos7network-scripts]#cat ifcfg-ens33 DEVICE=ens33 BOOTPROTO=none IPADDR=192.168.37.7 PREFIX=24 ONBOOT=yes GATEWAY=192.168.34.2 DNS1=114.114.114.114

服务器默认为22端口，这样会造成有被暴力破解密码的风险，下面是更换ssh端口过程 1.添加ssh端口 vim /etc/ssh/sshd_config 打开配置文件，添加我们需要更改的端口号， 此时不要删除默认22端口 ，让两个端口同时存在，如果我们直接修改了端口，然后启动防火墙之后，就会出现我们没有使用防火墙开放端口，导致我们连接不上服务器，我们暂且保留默认22，如果更改过后，使用新端口号没问题，再删除默认22端口不迟 我们想把端口改为2020，就如图添加上去，保存退出，然后重启ssh服务 systemctl restart sshd.service 2。配置防火墙规则 #启动防火墙 systemctl start firewalld.service #关闭防火墙 systemctl stop firewalld.service #重启防火墙 systemctl restart firewalld.service #查看防火墙状态 systemctl status firewalld.service #设置开机启动防火墙 systemctl enable firewalld.service #设置开机不启动防火墙 systemctl disable firewalld.service 首先启动防火墙，然后添加防火墙规则 firewall-cmd --zone=public -

防火墙相关概念。 逻辑上，防火墙可以分为主机防火墙和网络防火墙。 主机防火墙：针对单个主机进行防护 网络防火墙：处于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网 网络防火墙和主机防火墙并不冲突，网络防火墙主外（集体），主机防火墙主内（个人） 物理上，防火墙可以分为硬件防火墙和软件防火墙 硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高。 软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。 iptables其实不是真正的防护群殴爱你个，理解为一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应内核空间netfilter iptables是命令行工具，位于用户空间，利用命令行操作内核空间的netfilter，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。 netfilter是Linux操作系统核心层内部的数据包处理模块，功能如下： 1.网络地址转换（Network Address Translate） 2.数据包内容修改 3.数据包过滤的防火墙功能 iptables基础 iptables是按照规则处理数据包。 规则 存储在内核空间的信息包过滤表中。 规则指定 源地址、目的地址、传输协议（如TCP、UDP、ICMP）、服务类型（如HTTP、FTP、SMTP）等。 处理

前言 此篇仅为日常常用的centOS服务器防火墙命令篇；用于开放某个端口； 仅用于纪录加深自己的印象！！！ 作为一个后台开发，日常接触最多的除了代码就是服务器了； 产品：谁谁， 线上有个功能报错了，快看看杀错，解决下 测试：谁谁，测试服务器启动报错了，redis连不上、mq也连不上 项目经理：谁谁，下午给完成的版本项目发布一遍，走下流程吧 .... 等等，我们都需要和服务器打交道，其中就涉及到了今天要说的开放端口号，废话不多说开始！！！ centOS服务器--Firewall防火墙 1. 查看firewall防火墙的状态: systemctl status firewalld 或firewall-cmd --state systemctl status firewalld firewall-cmd --state 2. 启动firewall防火墙 systemctl start firewalld 3. 关闭firewall防火墙 systemctl disable firewalld 4. 查询某个端口是否开放： yes/no firewall-cmd --zone=public --query-port=8080/tcp firewall-cmd --zone=public --query-port=15672/tcp 5. 开放某个端口： 永久开放(--permanent)

前期测试使用免费的网络资源： 　　推荐使用阿贝云 https://www.abeiyun.com 　　这里提供了免费的免费虚拟主机、免费云服务器。足以供日常使用和测试。使用还算方便，都需要实名认证，不过可以不备案合法使用，免费的配置有点鸡肋，但是还是足够搭建一些小型网站的，如果要搭建中大型，那推荐氪金了。下面带截图： 接下来是我使用CentOS7为我的服务器系统 CentOS最简安装后必做流程 必定首做-配置网络 yum install vim 以root身份登录 修改网卡配置文件 vim /etc/sysconfig/network-scripts/ifcfg-ens33 把“ONBOOT”的值修改为"yes" reboot 安装yum install net-tools，以提供ifconfig的使用 ***如果不能使用vim，就用vi。 　　2.yum install wget -y 　　3.防火墙配置： 　　　　iptables -F 清空防护墙规则：一般清除完以后就可以通过公网ip访问网站了 　　　如果不可以，则做以下步骤： 　　　　#清空防火墙规则 　　　　iptables -F 　　　　#关闭防火墙服务 　　　　systemctl stop firewalld 　　　　#临时关闭防火墙服务 　　　　systemctl stop firewalld 　　　　

#*#firewall防火墙详解和配置以及iptables防火墙（建议开启此防火墙，适应配置） 1，官方文档介绍： https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld1 2，CentOS 7中防火墙是一个非常的强大的功能，是在CentOS 6.5中在iptables防火墙中进行的升级。 3，firewall配置 　　1，系统配置目录（目录中存放定义好的网络服务和端口参数，系统参数，不能修改） /usr/lib/firewalld/services 　　2，用户配置目录 /etc/firewalld/ 　　3，查询状态,开放端口，启用 查询服务状态 systemctl status firewalld 查看firewall状态 firewall-cmd --state查询哪些端口开放firewall-cmd --list-port 查询端口是否开放（eg:80） firewall-cmd --query-port=80/tcp 开放端口（eg:80）firewall-cmd --zone=public --add-port=80/tcp -

centos 7 防火墙相关操作 CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙。 1、关闭firewall： systemctl stop firewalld.service systemctl disable firewalld.service systemctl mask firewalld.service 2、安装iptables防火墙 yum install iptables-services -y 3.启动设置防火墙 # systemctl enable iptables # systemctl start iptables 4.查看防火墙状态 systemctl status iptables 5编辑防火墙，增加端口 vi /etc/sysconfig/iptables #编辑防火墙配置文件 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT :wq! #保存退出 3.重启配置，重启系统

网络环境介绍： 公司内网有一台web服务器，地址是192.168.100.100，web服务端口为80，并且为这台web服务器申请了DNS A记录的域名解析服务，解析记录是公司出口ip地址100.100.100.100。在办公区网络环境里，还有内网192.168.10.0网段，需要通过申请的域名来访问公司内网的192.168.100.100的web服务。 做法是在防火墙的出口，做一条端口映射，100.100.100.100:80到192.168.100.100:80的端口映射。 问题来了，做好端口映射以后，其他外部网络通过域名访问公司的web服务是正常的，但是公司内网用户通过域名访问公司自己的web服务，却无法访问；而公司内网用户通过192.168.100.100:80私有地址访问，是正常的。这种情况，就是因为做好端口映射以后，访问web服务的流量在响应的时候流量没有回流到防火墙导致的。 原因分析： 如上图，假如是192.168.10.10通过申请的域名访问192.168.100.100的web服务。这里假设访问的源端口是10000，目标端口是80，数据包分析如下： C2主机发起web请求.因为通过域名访问的，DNS解析服务正常，那么访问目标就是100.100.100.100:80 192.168.10.10:10000--->100.100.100.100:80

上图是我已经解决了的截图。在百度查询的资料中，说是把zabbix_agentd.conf文件中server监听的主机127.0.0.1去掉，但是我去掉之后问题仍然没有解决，最后在这篇博客上发现：是我 防火墙启动了的原因 ，至于防火墙启动大概是我安装bt的时候脚本中启动了，将防火墙stop之后，问题解决。 查看agentd日志： [root@VM_0_10_centos src]# tail -f /tmp/zabbix_agentd.log 32170:20191204:164250.030 ************************** 32170:20191204:164250.030 using configuration file: /usr/local/etc/zabbix_agentd.conf 32170:20191204:164250.030 agent #0 started [main process] 32171:20191204:164250.031 agent #1 started [collector] 32172:20191204:164250.031 agent #2 started [listener #1] 32173:20191204:164250.032 agent #3 started [listener #2] 32174