文件服务器和防火墙是怎么使用是Linux回炉的第六天

基本功能：隔离网络

防火墙
基本功能：隔离网络，以访问控制策略来控制不同信任程度区域传送的数据流，防护墙不能防护内部用户攻击，且无法防范病毒。

一般区域划分：
trust：高信任度，内部用户所在网络。
dmz：中等信任度，公共服务器所在。
untrust：不信任网络，等不安全网络。
local：防火墙自身区域。

工作模式：
路由模式（接口有ip）、透明模式（接口无ip）、混合模式。

什么是防火墙

什么是防火墙

一、防火墙的意义
防火墙（Firewall），也称防护墙，是由Check Point 创立者Gil Shwed于1993 年发明并引入国际互联网，它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。
在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。
在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问，上的人也无法和公司内部的人进行通信。

二、防火墙的历程
1：基于路由器的防火墙
2：用户化的防火墙工具套
3：建立在通用操作系统上的防火墙
4：具有安全操作系统的防火墙

三、防火墙的类型
1：网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。可以以枚举的方式只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
2：应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
3：数据库防火墙
数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。
数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

四、Linux 防火墙的用途
1：中小企业与网吧里有iptables 作为企业的NAT路由器，可以用来代替传统路由器，而节约成本。
2：IDC机房一般没有硬件防火墙，IDC机房的服务器可以用Linux 防火墙代替硬件防火墙。
3：iptables 可以结合squid 作为企业内部上网的透明代理。传统代理需要在浏览器里配置代理服务器信息，而iptables+squid 的透明代理则可以把客户端的请求重定向到代理服务器的端口。客户端不要作任何设置，而感觉不到代理的存在。
4：将iptables 作为企业NAT 路由器时，可以使用iptables 的扩展模块屏蔽P2P 流量，还可以禁止非法网页。
5：iptables 可以用于外网IP 向内网IP 映射。
6：iptables 可以轻松防止轻量级DOS 攻击，比如ping 攻击及SYN 洪水攻击。

五、防火墙工作原理
1：包过滤：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
2：应用代理：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。
3：状态检测：工作在2~4层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。
4：完全内容检测：工作在2~7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁

六、说一下Netfilter 与 iptables
Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架，该框架既简洁又灵活，可实现安全策略应用中的许多功能，如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation，NAT)，以及基于用户及媒体访问控制(Media ess Control，MAC)地址的过滤和基于状态的过滤、包速率限制等。Iptables/Netfilter的这些规则可以通过灵活组合，形成非常多的功能、涵盖各个方面，这一切都得益于它的优秀设计思想。
一提到防火墙立马就想到了是iptables，其实iptables并不是防火墙，他只是一个软件或者说是一个工具，这个软件可以编写某些规则，将写好的规则保存filter的规则数据库中。因此，真正起到&34;的功能filter。

Malwarebyte Windows Firewall Control v6

Malwarebyte Windows Firewall Control v6.9.0.0 2023.2.7
Windows 防火墙控制 - 管理 Windows 防火墙现在比以往任何时候都更容易
计划概述
Windows防火墙控制是一个强大的工具，它扩展了的功能 Windows防火墙，并提供新的额外功能，使Windows防火墙更好。 它在系统托盘中运行，允许用户轻松控制本机防火墙，而无需 通过导航到防火墙的特定部分来浪费时间。这是最好的管理工具 来自 Windows 11、10、8.1、8、
7、Server 2022、2019、2016、2012 的本机防火墙。视窗防火墙控制 提供四种过滤模式，只需单击鼠标即可切换：

高过滤 - 阻止所有出站和入站连接。此配置文件阻止所有连接到计算机和从计算机连接的尝试。
中等筛选 - 阻止与规则不匹配的出站连接。只有您允许的程序才能启动出站连接。
低筛选 - 允许与规则不匹配的出站连接。用户可以阻止他不想允许启动出站连接的程序。
无筛选 - Windows 防火墙已关闭。避免使用此设置，除非您的计算机上运行了另一个防火墙。

Windows 防火墙控制不执行任何数据包筛选，也不会阻止或允许任何连接。 这是由 Windows 防火墙本身根据现有防火墙规则完成的。
程序特点
√ 出站阻止连接的通知。
√ 自动允许数字签名程序的学习模式。
√ 创建临时规则，这些规则在过期或程序重新启动时自动删除。
√直观的用户界面，可通过系统托盘图标轻松访问。
√ 完全支持标准用户帐户。只有在安装时才需要提升的权限。
√ 禁用其他程序篡改 Windows 防火墙规则和状态的功能。
√ 集成支持创建、修改和删除窗口防火墙规则。
√ 在 Windows 防火墙中创建新规则的多种更简单的方法。
√锁定功能，可以禁用对程序和Windows防火墙设置的访问。
√ Shell 集成到可执行文件的右键单击上下文菜单中。
√ 自动显示不再存在的程序的无效规则。
√ 查找和显示重复防火墙规则的可能性。
√ 合并多个类似的规则或复制现有规则。
√查看最近允许和阻止的连接，并从安全日志创建新规则。
√ 导入和导出部分规则集。
√ 防止未经授权的卸载。
√卸载时恢复以前的设置的可能性。
√ 支持全局热键，并提供各种快捷键。
√ 29种语言的集成多语言支持。
√ 还有很多很多。试试吧。
系统要求
√ Microsoft .NET Framework 版本 4.5 或更高版本。
√ 兼容所有 x86 和 x64 版本的 Windows 11、10、8.1、8、
7、Server 2022、2019、2016、2012。
√需要启用 Windows 防火墙服务才能运行 Windows 防火墙控制。
需要启用√ DNS 客户端服务才能使通知正常工作。
已知限制
√ Windows 防火墙与软件代理、Web 过滤模块、NDIS 驱动程序和任何 其他安全软件，可能会将流量从 Windows 防火墙重定向到他们自己的过滤模块。
√ 由于安装了多种系统配置和软件，因此可能存在不兼容问题。 请举报他们，并帮助我们改进Windows防火墙控制。感谢您的支持！

（第五十五篇）“ GET（args）参数检查”功能简介----云服务器的实验之XX管理面板

（第五十五篇）“ GET（args）参数检查”功能简介----云服务器的实验之XX管理面板

“ GET（args）参数检查 ”就是针对get请求的参数进行检查，用来将木马风险文件阻止在Nginx或者Apache服务器之外，确保网站运行安全 。

在管理面板（运行在三丰云服务器）的管理页面，点击“网站防火墙”标签，显示“网站防火墙 / 网站列表”页面， 再点击“防火墙配置”按钮，在弹出的设置页面里，点击“ GET（args）参数检查”标签，则显示“ GET（args）参数检查”设置的相关信息。

在 “GET（args）参数检查”设置页面，共分2个部分，分别是：args黑名单设置  部分（含args黑名单 展示列表）和封禁参数设置部分（含被封禁URL展示列表） 。下面分别详述之：

1、args黑名单设置
用来设置一个或多个 args黑名单 。在页面包含args黑名单添加文本框和“args黑名单展示列表”2部分。在args黑名单设置文本框里输入 args参数 和说明的文字信息后，点击“添加”按钮，即可。（在设置多个get args黑名单 需换行，一行只允许填写一个args 。）保存后的信息显示在“args黑名单列表”里，在该列表里可以对已经被添加的args黑名单，可进行【启用/关闭】、【修改】、【删除】等操作。其中“修改”操作 是对列表里的“args参数”和“说明”2项信息进行修改。“删除”操作则是删除该条args黑名单。
系统默认了一部分 args黑名单 设置，如下：
../ 禁用包含 ../ 的参数
:$ 禁用变量取值符号
${ 防止mybatis注入
<? 禁止php脚本出现
<\% 禁止jsp脚本出现
s*ors+.*=.* 匹配' or 1=
1 ,防止sql注入
select([sS]*?)(from|limit) 防止sql注入
(?:(union([sS]*?)select)) 防止sql注入


2、封禁参数设置
在该部分，通过对“请求间隔、请求URI、被拦截次数和封锁IP时间”4个参数进行设置，并通过“添加”按钮进行保存。保存后的结果被显示在“被封禁URL展示列表”里。被封禁URL展示列表里展示的除上述4个参数外，还有一项“操作”，该“操作”主要是 “删除”操作即删除该条对URL的封禁设置。

特别说明：目前，本人使用的各类面板，都是运行在由  三丰云（sanfengyun。）  提供的免费云主机上的免费的Linux服务器图形化集成管理面板。

请看截图：

（第五十四篇）“ 扫描工具封禁”功能简介----云服务器的实验之XX管理面板

（第五十四篇）“ 扫描工具封禁”功能简介----云服务器的实验之XX管理面板

“ 扫描工具封禁 ”就是用来阻止和封禁扫描工具对本服务器的扫描。

在管理面板（运行在三丰云服务器）的管理页面，点击“网站防火墙”标签，显示“网站防火墙 / 网站列表”页面， 再点击“防火墙配置”按钮，在弹出的设置页面里，点击“ 扫描工具封禁”标签，则显示“ 扫描工具封禁”设置的相关信息。即点击左侧面板【网站防火墙】- 选择要设置的网站，点击【防火墙配置】-【扫描工具封禁】。

在 “扫描工具封禁”设置页面，一共从上到下分成3个部分，分别是：封禁参数设置部分（含被封禁URL展示列表）和扫描工具ua特征设置部分（含被封禁Ua展示列表） 。下面分别详述之：

1、封禁参数设置
在该部分，通过对“请求间隔、请求URI、被拦截次数和封锁IP时间”4个参数进行设置，并通过“添加”按钮进行保存。保存后的结果被显示在“被封禁URL展示列表”里。被封禁URL展示列表里展示的除上述4个参数外，还有一项“操作”，该“操作”主要是 “删除”操作即删除该条对URL的封禁设置。

2、扫描工具ua特征设置
用来设置一个或多个 ua黑名单 。在页面包含ua特征设置文本框和“被封禁Ua展示列表”2部分。在ua特征设置文本框里输入需要封禁的ua即可，输入时一行只允许填写一个ua，如果要设置多个 ua黑名单则需换行，如添加一默认常见的扫描工具过滤：“(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|sparker|httperf|bench| SF/) ”。完成后，点击“添加”按钮进行保存。保存后的信息显示在“被封禁Ua展示列表”里，在该列表里可以对已经被添加的ua黑名单：可进行【启用/关闭】、【修改】、【删除】等操作。“修改”操作 是对列表里的“ua”和“说明”2项信息进行修改。“删除”操作则是删除该ua黑名单。

特别说明：目前，本人使用的各类面板，都是运行在由  三丰云（sanfengyun。）  提供的免费云主机上的免费的Linux服务器图形化集成管理面板。

请看截图：

最近浅学linux云计算云存储运维

最近浅学linux云计算云存储运维，个人整理融合云信息系统建设步骤，先规划内网整体私有云架构，配置防火墙，设置内外网进出口规则，三层核心交换机划分vlan,设置trunk链路聚合，开启STP生成树协议避免环路造成网络广播风暴，开启VPN与远程登录，二层交换机接入层配置端口，sd-wan,安装linux服务器，JumpServer等保机，NTP，KMS，Ad,exchange，OA服务器，网络准入系统，信息安全审核日志服务器，外接移动,usb设备验证系统,各erp,sap,数据存储阵列，音视频会议系统，网络ip电话或程控电话系统，安防视频监控等，部署完服务器要设置集群主从配置，开启心跳感应模式，配置多机或异地热备。在linux服务器关闭selinux服务，关闭口令登录，开启密钥登录，设置ip，部署k8s集群，docker，podman，openstack，apache,nginx,wireshark,zabbix,Nagios,SQL,oracle,Jenkins，Ansible，SaltStack,puppet,fabirc，tomcat,Prometheus,等等各种devops自动化运维和软件应用组件，中间件，网站，ab压力测试软件，redis缓存，安装虚拟机云系统，有hyper-v,VMware vsphere,esxi,kvm,virtualbox,proxmox-ve,再配置各外部公有云平台（aws,aliyun,tencent,hw,189,）业务项目，CI/CD，目前只学到这里的一些皮毛。

MyPublicWiFi 2023

MyPublicWiFi 2023.2.10
：通过防火墙，URL跟踪，Adblocker和带宽管理器，将您的计算机变成WiFi接入点或单个热点。
MyPublicWiFi是一种易于使用的软件，可将您的笔记本电脑/平板电脑/ PC变成Wi-Fi无线访问点或单个热点。附近的任何人都可以通过您的共享来上网。这也是在酒店房间，会议室，家里或类似地方建立临时访问点的理想解决方案。通过启用用户身份验证，客户将被重定向到您的登录页面，以使用访问密码进行身份验证或接受使用条款，然后才能访问。 MyPblicWiFi防火墙可用于限制用户对特定服务器的访问。您还可以禁止使用某些服务（例如文件共享程序）或阻止使用社交媒体网络（例如Facebook）。 MyPublicWiFi将您的PC变成Adblock路由器。广告拦截器是节省互联网带宽并保护用户隐私的有效方法。带宽管理器可帮助您控制热点客户端的下载速率。 MyPublicWiFi允许您在虚拟WiFi热点上记录和跟踪所有访问过的URL页面。 Mypublicwifi允许您设置端口转发，支持12种语言，可以在没有连接的情况下使用，并支持 "Hosted Network" 和 "WiFi Direct for Windows 10".

是Linux回炉的第六天

今天，是Linux回炉的第六天
rpm
安装包
之前我配合一个部署项目的任务
因为网络拓扑中没有任何安全防护设备和策略
和他们项目经理建议的是
Linux采取最小化安装
再做一些防火墙策略
然后服务器采用双网卡你链接我我链接他的这种直连方式
其他用中间件做链接的载体
然后，就被项目经理以工作需要全部驳回了

安装包的编译安装
yum install -c++ make zlib-devel pcre pcre-devel openssl-devel -y
编译安装我现在对编译依赖的软件包有阴影
原来在6的时候经常性编译安装报错
yum search * #基本都是报什么包没有就按什么包
rpm -ivh *
最后还要在装一个 rpm -ivh *-devel.*这种头文件，找到就要安装我是这么想的
tar -vzxf
解压tar.gz包文件
cd到解压文件下
./configure --prefix=/home/nginx #6的时候经常在这里就开始报错
现在有阴影我自己开发部署的项目我都yum安装了，这次回炉看一下能不能完全解决
echo $? #验证一下
make
echo $? #验证一下
make install
make clean #前面编译出错重新编译需要做make clean主要是删除makefile文件和object文件(这个我熟)
在项目经理没有驳回我的时候我还在意淫的想

开始想到挂载镜像文件下载安装包
mount /dev/cdrom /mnt/
rpm -ivh /mnt/Packages/grep-2.20-3.el7.x86_64.rpm
rpm -e grep-2.20-3.el7.x86_64.rpm #卸载 --nodeps #忽略依赖关系的参数
需要什么安装什么是这么设想的
然后卸载
umonut /mnt/
后面突然想到
yum install lrzsz -y
也可以上传下载
后面在卸载
yum remove lrzsz -y
查询安装的包
rpm -qa|grep vim
rpm -Vf 查询文件是否被修改
Yum install update #升级内核
每次网络安全整改中安全公司的人总是建议升级内核，我都是建议在网络设备上做策略，如：acl等
我印象中在测试环境升级过十次只有一次成功
我觉得要升级内核你可能要提前半年做好事不留名
比如马鞍山的老奶奶迷路了你可以直接把她送个南京的警察叔叔
需要升级建议还是只升级功能软件
Yum install upgrade