防火墙

本文是《计算机网络》的自学课程，视频地址为： https://www.bilibili.com/video/av47486689。仅做个人学习使用，如有侵权，请联系删除 第七章：网络安全 安全分类 安全有： 数据安全（对文件的访问、储存） 应用程序安全（要确保应用程序是安全的） 操作系统安全（操作系统漏洞，要定时升级、设置用户权限） 网络安全：网络传输信息时的安全 物理安全 用户安全教育 本课程主要关注网络安全 网络安全问题概述 CAIN软件截获信息、篡改信息 CAIN只能对本网段起作用。 使用的原理依然是ARP欺骗 DNS劫持（修改DNS解析的结果） 如果交换机支持监视端口的功能的话，将该设备设置为内网的监视端口设备也能做的这样的效果 CAIN必须结合抓包工具来实现 CAIN只保留账号密码信息 DNS欺骗： DNS常常被用来做钓鱼网站 伪造 伪造身份，从而得以访问有访问控制的资源 例如设置网站只有特定ip才能访问： 直接访问就是这样的： 一般冒充设备要等到原设备关机等时候，防止出现冲突、露出马脚 这个不需要其他软件，直接改ip等就可以 中断 来源： https://baike.baidu.com/item/DoS%E6%94%BB%E5%87%BB DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击

JDK的bin目录下有jvisualvm或jconsole可以监控本地和远程jvm实例的运行动态（包括cpu，内存等）， 对于性能分析或内存泄露分析等极其方便。下面介绍如何通过这两个工具远程监控有防火墙的linux上的tomcat服务。 废话少说，直接上正题： 我的测试环境是：centos 6.2（IP为192.168.1.118）上通过jsvc将tomcat 7作为服务启动。 1. 下载http://mirror.bjtu.edu.cn/apache/tomcat/tomcat-7/v7.0.28/bin/extras/catalina-jmx-remote.jar并放在tomcat7的$CATALINA_BASE/lib目录。 2. 修改tomcat7的$CATALINA_BASE/conf/server.xml,在<Server port="8005" shutdown="SHUTDOWN"> 下加入监听器： <Listener className="org.apache.catalina.mbeans.JmxRemoteLifecycleListener" rmiRegistryPortPlatform="10001" rmiServerPortPlatform="10002" /> 3. 建立文本文件$CATALINA_BASE/conf/jmxremote

firewall-cmd CentOS 7 默认使用的防火墙是firewalld，不是CentOS 6的iptables 查看防火墙状态 systemctl status firewalld 也可以 firewall-cmd --state 启动防火墙 systemctl start firewall # 或者 systemctl start firewalld.service 关闭防火墙 systemctl stop firewall # 或者 systemctl stop firewalld.service 重启防火墙 systemctl restart firewall # 或者 systemctl restart firewalld.service 设置开机启用防火墙 systemctl enable firewalld.service 设置开机不启用防火墙 systemctl disable firewalld.service 添加防火墙端口 firewall-cmd --zone=public --add-port=3306/tcp --permanent 添加做个端口 firewall-cmd --zone=public --add-port=80-90/tcp --permanent 命令解析： – zone #作用域 –add-port=3690/tcp #

SElinux是基于内核开发出来的一种安全机制，被称之为内核级加强型防火墙，有力的提升了系统的安全性。 SElinux的作用分为两方面：1.在服务上面加上标签； 2.在功能上面限制功能 在linux系统中使用 getenforce 命令可以查看selinux的状态： 　　disabled 为关闭状态，对服务和功能都没有限制 　　enforcing 为强制状态，对服务和功能都进行限制 　　permissive 为警告状态，服务和功能可以使用，但会收到警告信息，可视为对安全的提示 在selinux开启状态时，可使用setenforce 0|1 来调整selinux的状态，0为警告状态，1为强制状态，如下图所示： 　　 selinux的状态在配置文件 /etc/selinux/config 中也可以设置： 　　路径：vim /etc/selinux/config 　　 　　注：由于selinux是基于内核开发的，所以改变状态以后，需要重启内核，也就是关机以后才能够生效 在selinux开启的状态下，可以看到文件的安全上下文的标签，输入ls -Z 可以看到目录下的文件和目录的安全上下文标签： 　　 Linux内核防火墙的工作原理 　　Linux的内核提供的防火墙功能通过netfiter框架实现，并提供iptables工具配置和修改防火墙的规则 　

在某些情况下，我们希望阻止某款软件联网，比如防止软件更新。 通常来说使用windows自带的防火墙是可以阻止软件联网的，但在我的电脑上它却失效了，无法起到阻止软件联网的作用。 我的操作系统： OS 名称: Microsoft Windows 10 专业版 OS 版本: 10.0.16299 暂缺 Build 16299 如下图所示，出站和入站都设置了阻止软件联网，但实际并不起效。 经过在设置 - 代理 - 手动设置代理 关闭 使用代理服务器 ，且关闭lantern，就解决了。 也就是如果打开使用代理服务器，且运行着lantern，那此时防火墙的设置就是失效的。经过测试在组策略中设置防火墙，如果开了代理和lantern也是失效的。 但是为什么会开启使用代理服务器这个选项呢? 经过验证：打开Lantern（蓝灯）就会自动开启此选项，如果手动关闭此选项，在运行lantern之后，又会打开此选项。 来源： https://www.cnblogs.com/zhaoqingqing/p/11791993.html

1. 入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。 这些位置通常是：  服务器区域的交换机上；  Internet接入路由器之后的第一台交换机上；  重点保护网段的局域网交换机上。 2. 入侵防御系统(IPS) IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术

背景描述 防火墙是具有很好的保护作用。***者必须首先穿越防火墙的安全防线，才能接触目标计算机。在公司里数据安全是最重要的，要求安全部门进行全公司进行服务器防火墙安全搭建，在原有的基础上进行安全的防火墙设置，有效避免安全隐患等问题,建议大家还是花个十多分钟好好看一下防火墙的理论，这样便于后期问题排查，最后一小节有常用命令操作。 主要内容 1 详细了解防火墙相关配置； 2 详细解读相关安全配置方法； 3 详细解读firewalld防火墙的基础知识； 4 了解firewalld防火墙的配置； 5 了解firewalld防火墙相关命令的使用。 1.Linux防火墙概述 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。 防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将数据包丢弃，从而保护网络的安全。 Linux系统的防火墙功能是由内核实现的。在2.4 版及以后的内核中，包过滤机制是netfilter.CentOS 6管理工具是iptables，CentOS

firewalld是红帽RHEL7中默认支持的新一代防火墙管理工具，它是一种基于zone域的概念的防火墙，能做到根据不同的域来管理防火墙规则，根据不同的场景来应用。有两种配置方式，一种是CLI 一种是图形化界面，命令行的方式比较繁琐，需要多加练习。 来源： 51CTO 作者： caifufeng2011 链接： https://blog.51cto.com/12331786/2455545

（1)iptables 4种配置的方法 (2)firewalld 4种网卡设置的方法 来源： oschina 链接： https://my.oschina.net/u/4251328/blog/3136194

（1)iptables 4种配置的方法 (2)firewalld 4种网卡设置的方法 来源： oschina 链接： https://my.oschina.net/u/4251328/blog/3136194