防火墙

1.如果没有安装X-Windows 桌面的话要先安装Xwindows [root@localhost ~]# yum check-update [root@localhost ~]# yum groupinstall "X Window System" [root@localhost ~]# yum install gnome-classic-session gnome-terminal nautilus-open-terminal control-center liberation-mono-fonts [root@localhost ~]# unlink /etc/systemd/system/default.target [root@localhost ~]# ln -sf /lib/systemd/system/graphical.target /etc/systemd/system/default.target [root@localhost ~]# reboot 2.查看是否已安装vnc: 3.yum安装安装VNC组件 4.修改配置信息。 在/etc/systemd/system/下建立文件vncserver.service , 文件内容从/lib/systemd/system/vncserver@.service复制 找到这一行 ExecStart=/sbin

开放端口 查询端口是否打开 查看当前系统打开的所有端口 限制（关闭）端口 来源：博客园 作者： 一窗明月半帘风 链接：https://www.cnblogs.com/sswind/p/11769299.html

һ. 双机热备的工作原理 华为的双机热备是通过部署俩台或多台防火墙实现热备及负载均衡，俩台防火墙相互协同工作，犹如一个更大的防火墙 双机热备概述 随着互联网的发展，人们生活中的大多数问题可以通过网络解决，但与此同时，网络安全问题也逐渐暴露出来。 华为防火墙的双机热备包含以下俩种模式 1.热备模式：同一时间只有一台防火墙转发数据包，其他防火墙不转发数据包，但是会同步会话表及Server-map表。 2 负载均衡模式：同一时间，多台防火墙同时转发数据，但每个防火墙又作为其他防火墙的备用设备，即每个防火墙是主设备也是备份设备，防火墙之间同步会话表及Server-map表 负载均衡模式下，针对一些流量（如黑色圈流量），FW1是主用设备，Fw2是备用设备，所以该流量默认通过FW1转发，而针对另外一些流量（灰色流量），FW2是主设备，FW1是备用设备，所以改流量默认通过FW2转发，FW1又作为（灰色）流量的备用设备，当FW2损坏时，FW1依然可以转发（灰色）流量，同理，FW2也可以在FW1损坏时转发（黑色）流量 VRRP 在双机热备技术中，即使选举出了主用设备和备用设备，默认情况下流量也通过主用设备转发，而备用设备处于备份状态 1.VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）由IETF进行维护，用来解决网关单点故障的路由协议

1.先检查Tomcat是否启动： 输入指令：grep aux | grep tomcat，检查 Tomcat是否有应用 出现如图所示进程信息，表示该应用已经启动。 2.检查响应的端口是否打开： 如图所示，出现了对应的端口，表示端口已经启动 3.检查防火墙规则是否配置 如果对应端口的防火墙没有打开，粘贴(yy)复制(p)已经配置的防火墙，修改为对应的端口 4.查看Tomcat的logs日志Catalina.out,是否报异常 假如8080端口是否被占用 a.先关闭掉Tomcat应用，shutdown.sh b.再输入netstat -tlun ，检查8080端口是否还是启动的，假如还是启动的，在输入：netstat -tlun | grep 8080 d.再在防火墙中添加新的端口，使在防火墙打开 e.再次重新启动Tomcat 来源：博客园 作者： 菜鸟楚 链接：https://www.cnblogs.com/chuchu5811/p/11768629.html

一、华为防火墙NAT的六个分类 华为防火墙的NAT分类： NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，使用情况较少。 NAPT（Network Address and Port Translation，网络地址和端口转换）：类似于Cisco的PAT转换，NAPT即转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约公网IP地址，使用场景较多。 出接口地址（Easy-IP）：因其转换方式非常简单，所以也被称为Easy-IP、和NAPT一样，即转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址。 NAT Server：静态一对一发布，主要用于内部服务器需要对Internet提供服务时使用，。 Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行NAT No-PAT转换，该方式不太常用。 三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普遍NAT中无法实现的问题。主要应用于外部用户访问局域网的一些P2P应用。 二、解决NAT转换时的环路及无效ARP

一。NAT分类 NAT No-pat：类似于Cisco的动态转换，只转化源IP地址，网络地址，不转化端口，属于多对多转换，不能节约公网IP地址，使用较少 NAPT：（网络地址和端口转换）类似与Cisco的PAT转换，NAPT即转换报文的源地址，又转换源端口， 出接口地址：（Easy-IP）转换方式简单，和NAPT一样，即转换源地址又转换源端口，属于多对一转换 Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换 三元组NAT：与源IP地址，源du端口和协议类型有关的一种转换 二，黑洞路由 源地址转换场景下的环路和无效ARP问题 三，Server-map表 通过Server-map表解决FTP数据传输问题 会话表记录的是连接信息，包括连接状态 Server-map在NAT中的应用 正向条目携带端口信息，用来使外部用户访问202.96.1.10时直接通过Server-map表进行目标地址转换 反向条目不携带端口信息，且目标地址时任意的，用来使服务器可以访问互联网前提是必须是TCP协议， 四，NAT对报文的处理流程 NAT配置（三种方法） (1)NAT No-pat 走一条默认路由 配置安全策略 配置NAT地址组，地址组中，地址对应的是公网IP 配置NAT策略 针对转换后的全局地址（NAT地址组中的地址）配置黑洞路由 验证NAT配置，用PC1可以ping外网的PC2

Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具，支持IPv4、IPv6防火 墙设置以及以太网桥，支持服务或应用程序直接添加防火墙规则接口。 拥有两种配置模式 1.运行时配置 2.永久配置 Firewalld和iptables的关系 netfilter： 位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态” Firewalld/iptables： CentOS7默认的管理防火墙规则的工具(Firewalld)称为Linux防火墙的“用户态” Firewalld和iptables的区别： Firewalld iptables 配置文件 /us/ib/firewalld/、 /etc/sysconfig/iptables /etc/firewalld/ 对规则的修改 不需要全部刷新策略，不丢失现行连接 需要全部刷新策略，丢失连接 防火墙类型 动态防火墙 静态防火墙 Firewalld网络区域 区域介绍： 区域如同进入主机的安全门，每个区域都具有不同限制程度的规则； 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口； 默认情况下，public区域是默认区域，包含所有接口(网卡)。 区域 描述 drop (丢弃) 任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络连接 block (限制)

Fiewalld防火墙基础 1.Fiewalld概述 2.Fiewalld和iptables的关系 3.Fiewalld网络区域 4.Fiewalld防火墙的配置方法 5.Fiewalld-config图形工具 6.Fiewalld防火墙案例 Fiewalld概述 Fiewalld简介 1.支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 2.支持IPv4、IPv6防火墙设置以及以太网桥 3.支持服务或应用程序直接添加防火墙规则接口 4.拥有两种配置模式：运行时配置、永久配置 基于端口、协议、 Fiewalld和iptables的关系 netfilter： 1.位于Linux内核中的包过滤功能体系 2.称为Linux防火墙的“内核态” Fiewalld/iptables： 1.CentOS7默认管理防火墙规则的工具（Fiewalld） 2.称为Linux防火墙的“用户态” Fiewalld和iptables的区别： Fiewalld iptables 配置文件 /usr/lib/firewalld/或/etc/firewalld/ /etc/sysconfig/iptables 对规则的修改 不需要全部刷新策略，不丢失现行连接 需要全部刷新策略，丢失连接 防火墙类型 动态防火墙（灵活） 静态防火墙 Fiewalld网络区域 区域介绍： 区域 描述 drop（丢弃）

###iptables的四表五链 #Filter表 INPUT：到达目标主机套接字的包 FORWARD：经过路由的包，主要为路由转发 OUTPUT：本地主机创建的数据包 #NAT表 PREROUTING：对刚进来的数据包进行更改 OUTPUT：本地创建的数据包在路由之前进行更改 POSTROUTING：在数据包出去时更改数据包信息 #Managle表 INPUT：进入设备本身的包 FORWARD：对经过路由通过设备的包进行更改 PREROUTING：在路由之前更改传入的包 OUTPUT：本地创建的数据包在路由之前进行更改 POSTROUTING：在数据包出去时更改数据包信息 #raw表 略 ###iptables的安装 yum install iptables-services -y #加载模块 modprobe ip_tables modprobe iptable_filter modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_state #查看加载的模块 lsmod |egrep 'filter|nat|ipt' #停止firewalld systemctl stop firewalld systemctl disable

1、firewalld的基本使用 启动： systemctl start firewalld 关闭： systemctl stop firewalld 2.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。 启动一个服务：systemctl start firewalld.service 关闭一个服务：systemctl stop firewalld.service 重启一个服务：systemctl restart firewalld.service 显示一个服务的状态：systemctl status firewalld.service 在开机时启用一个服务：systemctl enable firewalld.service 在开机时禁用一个服务：systemctl disable firewalld.service 查看服务是否开机启动：systemctl is-enabled firewalld.service 查看已启动的服务列表：systemctl list-unit-files|grep enabled 查看启动失败的服务列表：systemctl --failed 3.配置firewalld-cmd 查看版本： firewall-cmd --version 查看帮助： firewall-cmd -