防火墙和系统安全防护和优化

防火墙和系统安全防护和优化

防火墙

所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。

防火墙功能

• 入侵检测功能

网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。

• 网络地址转换功能
  利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。

• 网络操作的审计监控功能
  通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。

• 强化网络安全服务
  防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

防火墙主要类型

• 过滤型防火墙
  过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。

• 应用代理类型防火墙
  应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。

• 复合型
  目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制；如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

CentOS防火墙配置

修改防火墙
CentOS切换为iptables防火墙
firewall-cmd --state 查看防火墙状态

切换到iptables首先应该关掉默认的firewalld，然后安装iptables服务。
1、关闭firewall：
systemctl stop firewalld.service 
systemctl disable firewalld.service #禁止firewall开机启动

2、安装iptables防火墙
yum install iptables-services #安装
service iptables save

3、编辑iptables防火墙配置
vi /etc/sysconfig/iptables #编辑防火墙配置文件
下边是一个完整的配置文件：
在你运行完save中间插入下面的规则
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
:wq! #保存退出

systemctl start iptables.service  #开启
systemctl enable iptables.service #设置防火墙开机启动

系统安全

英文System Safety(注意与security保密性区别开);系统安全是指在系统生命周期内应用系统安全工程和系统安全管理方法，辨识系统中的隐患，并采取有效的控制措施使其危险性最小，从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系，是系统工程与安全工程结合的完美体现。系统安全的基本原则就是在一个新系统的构思阶段就必须考虑其安全性的问题，制定并执行安全工作规划(系统安全活动)，属于事前分析和预先的防护，与传统的事后分析并积累事故经验的思路截然不同。系统安全活动贯穿于生命整个系统生命周期，直到系统报废为止。

系统安全防护和优化

• 更新系统补丁
  补丁是系统安全最基本的保障，因此需要及时将补丁更新至最新。
  千万不要使用任何第三方软件更新补丁，用Windows自带的补丁更新工具才是最好的。没有谁比微软更了解Windows，而且第三方软件有可能会加入一些自己的软件进去，比如某安全巨头公司曾经就干过这种卑鄙的事情。

• 修改启动服务
  systemctl 是管制服务的主要工具,它整合了chkconfig 与 service功能于一体。
  systemctl is-enabled iptables.service #查询防火墙是否开机启动
  systemctl restart sshd #有可能不需要加service
  systemctl is-enabled servicename.service #查询服务是否开机启动
  systemctl enable *.service #开机运行服务
  systemctl disable *.service #取消开机运行
  systemctl start *.service #启动服务
  systemctl stop *.service #停止服务
  systemctl restart *.service #重启服务
  systemctl reload *.service #重新加载服务配置文件
  systemctl status *.service #查询服务运行状态
  systemctl --failed #显示启动失败的服务

• 卸载危险组件
  regsvr32 /u %SystemRoot%\system32\shell32.dll
  regsvr32 /u %SystemRoot%\system32\wshom.ocx

• 删除危险权限
  由于系统权限设置的地方非常多，我们只能公布常用的部分。
  部分文件被系统隐藏了，不便于设置，因此我们先将所有文件显示出来。

• 更改远程端口
  有很多暴力破解工具专门针对远程登录，更改远程端口能防范扫描。
  更改端口后注意到防火墙添加新端口放行规则

• 开启防火墙
  只开放需要的端口，如：21、80、3389

• 开启禁止ping
  echo “net.ipv4.icmp_echo_ignore_all=1” 1>> /etc/sysctl.conf
  sysctl -p