防火墙

memcache安全讨论 memcache和session的比较 memcache主要目的用于提速，因此它是一种无状态的数据，即数据不会和任何用户绑定。 session数据是和用户绑定的，因此是一种有状态的数据。 memcache应该放入到内网，用防火墙阻止外网对11211端口的访问。坚决不能放到外网去。 在linux下也可以使用防火墙 setup 配置防火墙 iptables -a input -p tcp -s 127.0.0.1 -d port 11211 -j ACCEPT 该命令只允许本机访问。 和memcache功能相近的还有一个叫redis的nosql有时间也可以研究一下。 memcache就学习的这里，在工作中多多使用，增加经验积累。 来源： oschina 链接： https://my.oschina.net/u/1423209/blog/505466

　　本篇博文主要调研了iptables的作用和具体用法及特点，其中包含了我对iptables的理解与思考。 一、防火墙基础　　 　　iptables其实不是真正的防火墙，我们可以把它理解成一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的"安全框架"中，这个"安全框架"才是真正的防火墙，这个框架的名字叫netfilter。netfilter才是防火墙真正的安全框架（framework），netfilter位于内核空间。iptables其实是一个命令行工具，位于用户空间，我们用这个工具操作真正的框架。这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。 二、iptables基础 　　iptables是按照规则来办事的，规则其实就是网络管理员预定义的条件，规则一般的定义为"如果数据包头符合这样的条件，就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。 　

Little Snitch 4 for Mac相信Mac用户用的最多的功能就是监控和阻止特定软件的网络连接，像我就是用它来阻止某个软件联网，Little Snitch 4 for Mac会可以通过弹出窗口提醒用户是否允许其网络连接，不会发生软件跳过你自动访问的情况，非常好用，一起来看看Mac防火墙工具Little Snitch 4 for Mac 4.4.3已完美支持Mac10.15系统，这软件更多功能吧！ 下载地址： little snitch 4破解版 Little Snitch 4破解版软件介绍 Little Snitch，使这些互联网连接可见，让您重新掌控！ 只要您连接到Internet，应用程序就可以随时随地发送任何内容。大多数情况下，他们为您的利益这样做。但有时候，就像跟踪软件，特洛伊木马或其他恶意软件一样，他们却没有。但是你没有注意到任何事情，因为所有这一切都发生在我们看不见的地方。 littlesnitch最新破解版功能介绍 1.立即决定警报模式 每当应用程序尝试连接到Internet上的服务器时，Little Snitch都会显示连接警报，允许您决定是允许还是拒绝连接。未经您的同意，不会传输任何数据。您的决定将被记住并在将来自动应用。 2.稍后回顾静音模式 如果您是Little Snitch的新手，您可能会被希望连接到Internet的应用程序的大量通知所震撼

Linux上新用的防火墙软件，跟iptables差不多的工具 补充说明 firewall-cmd 是 firewalld的字符界面管理工具，firewalld是centos7的一大特性，最大的好处有两个：支持动态更新，不用重启服务；第二个就是加入了防火墙的“zone”概念。 firewalld跟iptables比起来至少有两大好处： firewalld可以动态修改单条规则，而不需要像iptables那样，在修改了规则后必须得全部刷新才可以生效。 firewalld在使用上要比iptables人性化很多，即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。 firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，也就是说firewalld和 iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结 构以及使用方法不一样罢了。 命令格式 firewall-cmd [选项 ... ] 选项 通用选项 -h, --help # 显示帮助信息； -V, --version # 显示版本信息. （这个选项不能与其他选项组合）； -q, --quiet # 不打印状态消息； 状态选项 --state #

1、DMZ是什么？ 英文全名“Demilitarized Zone”，中文含义是“隔离区”。在安全领域的具体含义是“内外网防火墙之间的区域”。 2、DMZ做什么？ DMZ区是一个缓冲区，在DMZ区存放着一些公共服务器，比如论坛等。 用户要从外网访问到的服务，理论上都可以放到DMZ区。 内网可以单向访问DMZ区、外网也可以单向访问DMZ区。 3、为什么设置DMZ区？ 为了安全（哈哈！）。做个假设，如果你公司的内网可以从互联网被访问的话，那么还存在什么安全？但是有些对外的服务还必须要能够从外网进行访问，在这种情况下“DMZ区”就应运而生了。 DMZ区是一个区域，她提供了对外服务器存放的位置， 有了安全，也有了方便 。通过下面DMZ区布置图可以加深理解： 1防火墙设置 2防火墙设置 作者：持之1恒 链接：https://www.jianshu.com/p/8580587c3201 来源：简书 著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。 来源： https://www.cnblogs.com/cxyc005/p/11941426.html

1、window下虚拟机配置完成需新增eth0网卡 vi /ect/sysconfig/network-scripts/ifcfg-eth0 将ONBOOT = No 更改为 yes 新增 DNS1=8.8.8.8 如需手动设置ip：BOOTPROTO=static（将自动获取ip改为固定ip），IPADDR=192.168.1.61（设置你想要的ip地址） 重启网卡服务 services network restart 重新查看网卡信息 ifconfig 2、防火墙命令： 查看状态：services iptables status 关闭防火墙：services iptables stop 3、 同一台主机下的两台虚拟机互ping不通 虚拟机连接方式设置为桥接； 统一网段； 关闭windows防火墙； 4、修改了/etc下的php.ini文件需要重启php-fpm服务： 停止命令： pkill php-fpm 重启或启动命令： php-fpm -R 来源： https://www.cnblogs.com/jn1011/p/10592299.html

配置firewalld防火墙 案例 5 ：配置 firewalld 防火墙 5.1 问题 本例要求为两个虚拟机 server0 、 desktop0 配置防火墙策略： 允许从 172.25.0.0/24 网段的客户机访问 server0 、 desktop0 的任何服务 禁止从 my133t.org 域（ 172.34.0.0/24 网段）的客户机访问 server0 、 desktop0 的任何服务 在 172.25.0.0/24 网络中的系统，访问 server0 的本地端口 5423 将被转发到 80 上述设置必须永久有效 5.2 方案 RHEL7 的防火墙体系根据所在的网络场所区分，提供了预设的安全区域： public ：仅允许访问本机的 sshd 等少数几个服务 trusted ：允许任何访问 block ：阻塞任何来访请求 drop ：丢弃任何来访的数据包 …… 新增防火墙规则的位置包括： 运行时（ runtime ）：仅当前有效，重载防火墙后失效 永久（ permanent ）：静态配置，需要重载防火墙才能生效 本地端口转发（端口 1--> 端口 2 ）： 从客户机访问防火墙主机的端口 1 时，与访问防火墙的端口 2 时等效 真正的网络应用服务其实在端口 2 提供监听 5.3 步骤 实现此案例需要按照如下步骤进行。 步骤一：采取 “默认全允许，仅拒绝个别”的防护策略

技巧一：从基本做起，及时安装系统补丁 —— 不论是 Windows 还是 Linux ，任何操作系统都有漏洞，及时的打上补丁避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一。 技巧二：安装和设置防火墙 —— 现在有许多基于硬件或软件的防火墙，很多安全厂商也都推出了相关的产品。对服务器安全而言，安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用，但是安装了防火墙并不等于服务器安全了。在安装防火墙之后，你需要根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果。 技巧三：安装网络杀毒软件 —— 现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播，同时，在网络杀毒软件的使用中，必须要定期或及时升级杀毒软件，并且每自动更新病毒库。 技巧四：关闭不需要的服务和端口 —— 服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭；对于期间要使用的服务器，也应该关闭不需要的服务，如 Telnet 等。另外，还要关掉没有必要开的 TCP 端口。 技巧五：定期对服务器进行备份 —— 为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时

导致SqlServer远程无法连接三大配置: 1.数据库配置双重验证 数据库如果没有配置双重验证，那么使用IP地址就无法连接到数据库，解决方式是在数据库属性更改即可： 1.TCP/IP协议未启用 在开始菜单中找到sqlserver配置管理器，把对应的数据库协议启用TCP/IP协议即可： 3.防火墙开启导致无法远程连接 解决方案一：关闭防火墙 解决方案二：在防火墙添加数据库相关的信任 打开服务，右键点击服务，查找sqlserver的路径，添加即可。 来源： CSDN 作者： 煸炒大虾 链接： https://blog.csdn.net/u010664346/article/details/81199215

在博客园上看到大佬发布了一篇在 netcore跨平台之 Linux上部署netcore和webapi 的文章，自己也跟着学习了一下，记录一下整个学习过程。 1、首先跟着大佬的脚步，按照大佬的配方一一执行下去。当我启动webapi的时候，发现我本机无法访问linux服务器，然后我就在服务器上用 curl http://localhost:17002/api/values访问webapi开启的地址，发现可以正常响应 这个时候转念一想肯定是限制了外网不能访问，所以需要去开启防火墙的端口， 因为Linux中有两种防火墙软件， firewall防火墙和iptables管理防火墙，我服务器用的是firewall，所以先用 命令 firewall-cmd --zone=public --add-port=8123/tcp --permanent 开启端口，这个端口是Nginx代理的端口。开启之后，用命令firewall-cmd --reload重启防火墙。如下图 这个时候用本机去访问就可以正常访问了。 因为linux服务器安装了Systemctl工具，Systemctl是一个systemd工具，主要负责控制systemd系统和服务管理器。 Systemd是一个系统管理守护进程、工具和库的集合，用于取代System V初始进程。Systemd的功能是用于集中管理和配置类UNIX系统