防火墙和系统安全防护和优化

防火墙
定义：
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。
作用：
1.保护脆弱的服务
2.控制对系统的访问
3.集中的安全管理
4.增强保密性
5.策略执行

基本特性：
1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。
2.只有符合安全策略的数据流才能通过防火墙。
3.防火墙自身应具有非常强的抗攻击免疫力。

系统安全防护和优化
系统安全防护
Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制，如果这些安全机制配置不当，就会使系统存在一定的安全隐患。因此，网络系统管理员必须小心地设置这些安全机制。
1.Linux系统的用户帐号
在正常情况下，这些口令和其他信息由操作系统保护，能够对其进行访问的只能是超级用户（root）和操作系统的一些应用程序。但是如果配置不当或在一些系统运行出错的情况下，这些信息可以被普通用户得到。进而得到加密前的口令。
2.Linux的文件系统权限
Linux文件系统的安全主要是通过设置文件的权限来实现的。每一个Linux的文件或目录，都有3组属性，分别定义文件或目录的所有者，用户组和其他人的使用权限（只读、可写、可执行、允许SUID、允许SGID等）。特别注意，权限为SUID和SGID的可执行文件，在程序运行过程中，会给进程赋予所有者的权限，如果被黑客发现并利用就会给系统造成危害。
3.合理利用Linux的日志文件
/var/log/lastlog文件记录最后进入系统的用户的信息，包括登录的时间、登录是否成功等信息。
/var/log/secure 文件记录系统自开通以来所有用户的登录时间和地点，可以给系统管理员提供更多的参考。
/var/log/wtmp文件记录当前和历史上登录到系统的用户的登录时间、地点和注销时间等信息。

系统优化
1.禁用不必要的服务
iptables 防火墙服务
network 网络服务
sshd ssh远程管理服务>加密telent–>明文syslog 系统日志服务
crond 系统计划任务服务
xinetd 系统超级守护进程服务
关闭多余的控制台及禁止ctrl+alt+del(修改/etc/inittab文件注释掉多余的控制台，保留2个就可以防止资源浪费；禁止ctrl+alt+del快捷键防止误操作强制关机；)
2.网络优化
禁止ping(多台ping服务器会ping崩溃服务器（老服务器）防止黑客攻击途径；)
禁止源路由包（防止源欺骗）
打开SYN cookie选项，禁止SYN攻击
3.严格的安全策略
密码合理并定期跟换密码三原则：复杂性、易记忆性、时效性
合理分配权限
使用ssh远程管理
保证/etc/shadow的安全
存储linux所有账号和密码
定期备份重要数据和日志