网络运维知识

网络行为安全

部署方案

路由模式

简介：
    设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。
     路由模式下支持AC所有的功能。
    如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式没有这些功能。
配置思路：
    【1】、网口配置：配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL拨号上网，则填写运营商给的拨号帐号和密码；确定内网口的IP；
    【2】、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。
    【3】、用户是否需要通过AC设备上网，如果是的话，需要设置NAT规则。
    【4】、检查并放通防火墙规则
排错思路：
    （1）检查PC本身的网口IP，子网掩码
    （2）检查PC本身的默认网关，首选的DNS服务器
    （3）检查AC上给PC做的SNAT
    （4）检查AC上给PC做的回包路由
    （5）被PC访问的设备本身能否上网 PING /TELNET /WGET
    （6）网口兼容性  换网线 换网口 中间加交换机
    （7）arp防护和免费arp可能存在冲突
    （8）通过ifconfig检查网口错误包或者丢包，ethtool -S  查看丢包类型

网桥模式

简介：
    设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。
    网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。
配置思路：
    【1】、配置设备网桥地址，网关地址，DNS地址。
    【2】、确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。
    【3】、检查并放通防火墙规则。
排错思路：
    【1】、AC网线是否反接（在线用户列表出现大量公网IP）
    【2】、网桥地址是否可用，是否和内网冲突
    【3】、网关是否指向靠近出口方向的设备
    【4】、设备上的DNS是否填写正确
    【5】、确认前面设备是否有拦截（可能做ACL拦截了AC），或者是否对AC做源地址转换代理上网

旁路模式

简介：
    旁路模式主要用于实现审计功能，完全不需要改变用户的网络环境，通过把设备的监听口接在交换机的镜像口，实现对上网数据的监控。这种模式对用户的网络环境完全没有影响，即使宕机也不会对用户的网络造成中断。
    旁路模式部署主要用于做上网行为的审计，且只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。
    更多场景：全网行为管理推荐的旁路准入+审计场景
配置思路：
    【1】、交换机设置镜像口，并接到AC监听口。
    【2】、配置需要审计的内网网段和服务器网段。
    【3】、配置管理口地址，用于管理AC设备
注意事项：
    【1】、路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。
    【2】、路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。
    【3】、设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外，其它网口均可作为监听口，可以同时选择多个网口作为监听口。

用户认证

• 用户注销

• IP/MAC绑定

• 外部认证

应用控制技术

• 应用特征识别技术

• HTTP识别控制技术

• HTTPS识别控制技术

• 自定义应用识别技术

流量管理技术

流量检测方法

• 主动检测方法

• 被动检测方法

边界安全

防火墙的历程：

防火墙	工作范围	判断信息
包过滤	网络层、传输层（3-4层）	五元组
应用代理	7层应用层	所有应用层的信息包
状态检测	数据链路层、网络层、传输层（2-4层）	IP地址、端口号、TCp标记
入侵检测系统（IDS）	2-7层
入侵防御系统（IPS）	2-7层
web应用防火墙（WAF）	应用层（7层）
防病毒网关（AV）	2-7层

防火墙的功能：

• 访问控制

• 地址转换

• 网络环境支持

• 宽带管理功能

• 入侵检测和防御攻击

• 用户认证

• 高可用性

防火墙安全策略的作用：

根据定义的规则对经过防火墙的流量进行过滤筛选，再进行下一步操作。

安全策略分类：

• 域间安全策略

• 域内安全策略

• 接口包过滤

入侵检测系统（IDS）：抵御2-7层已知威胁

入侵防御系统（IPS）

防病毒网关（AV）：基于网络侧识别病毒文件

Web应用防火墙（WAF）：用来保护web应用

同意威胁管理（UTM）（2-7层）：多合一安全网关IDS，FW，IPS，AV

下一代防火墙（NGFW）（2-7层）：IDS，FW，IPS，AV，WAF

性能指标：

吞吐量

时延

丢包率

背靠背

并发连接数：基于传输层

下一代防火墙组网

下一代防火墙具备灵活的网络适应能力：

路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。

• 接口分类

按照接口属性分：物理接口、子接口、VLAN接口、聚合接口

其中物理口可选择为：路由口、透明口、虚拟网线口（前三种可以设置WAN和非WAN属性）、旁路镜像口。

• AF的部署模式是由各个接口的属性决定的

路由接口

如果设置为路由接口，则需要给该接口配置IP地址,且该接口具有路由转发功能。

• ADSL拨号(PPPoE) 如果设置为路由接口，并且是ADSL拨号，需要选上添加默认路由选项，默认勾选。

• 管理口 Eth0为固定的管理口，接口类型为路由口，无法修改。eth0可增加管理IP地址，默认的管理IP 10.251.251.251/24如需修改，AF8.0.13版本后，可在【系统】–【通用配置-【网络参数】中进行修改。

透明接口

虚拟网线接口

• 虚拟网线接口也是普通的交换接口，不能配置IP地址，不支持路由转发，转发数据时，也无需检查MAC表,直接从虚拟网线配对的接口转发。

• 虚拟网线接口的转发性能高于透明接口，单进单出、双进双去等成对出现的网桥的环境下，推荐使用虚拟网线接口部署。

旁路镜像接口

• 旁路镜像接口不能配置IP地址，也不支持数据转发，只是用来接收从外部镜像过来的镜像数据。

• 镜像接口可以配置多个，根据现场实际业务场景需要接收的数据情况进行选择。

子接口

• 子接口应用于路由接口需要启用VLAN或TRUNK的场景。

• 子接口是逻辑接口，只能在路由口下添加子接口，子接口默认继承物理接口上的属性

• 子接口的下一跳网关和链路故障检测根据实际环境进行配置

• 是从物理接口中虚拟出来的vlan接口、

• 可以配置IP地址

VLAN接口

• 为VLAN定义IP地址，则会产生VLAN接口，VLAN接口也是逻辑接口

注意事项：

• 设备支持配置多个WAN属性的路由接口连接多条外网线路，但是需要开通多条线路的授权。

• 管理口不支持设置成透明接口或虚拟网线接口，如果要设置2对或2对以上的显拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理口Eth0。

• 一个路由接口下可添加多个子接口，路由接口的IP地址不能与子接口的IP地址同网段。

区域

本地逻辑安全区域

组网方案

路由模式组网

单臂路由模式：

1. 配置接口IP

2. 配置路由条目

3. 配置源地址转换NAT

4. 配置应用控制策略

透明模式组网

配置步骤

1. 配置接口类型

2. 配置管理接口

3. 配置路由条目

4. 配置应用控制策略

注意事项

• 透明模式部署不支持NAT、策略路由选择、动态路由协议(OSPF、BGP、RIP等）等

• 需要了解上联和下联的方向，以免策略方向出错

• 一般部署在出口路由设备下联方向，不会改动原有网络环境

混合模式组网

配置步骤：

1. 配置物理接口

2. 配置VLAN接口

3. 配置路由

4. 配置NAT

5. 配置应用控制策略

注意事项

• 在混合模式部署时，接公网和服务器的两个接口要在同一个VLAN下，同时三层VLAN接口也在这个VLAN下，并配置公网IP

• 混合模式部署相应的安全功能都支持，如IPS、WEB应用防护、僵尸网络、应用控制、内容安全、实时漏洞分析等都支持

• 需要修改原网络拓扑，对现有环境改动较大

旁路模式组网

配置步骤：

1. 配置镜像接口

2. 配置管理接口

3. 配置路由

4. 启用旁路reset功能

5. 配置安全防护策略

策略路由

配置步骤：

• 配置访问电信资源走电信线路出口

• 配置访问联通资源走联通线路出口

• 配置访问非电信和联通资源，按当前带宽繁忙程度自动选路

• 配置两条冗余线路，任意一条故障，线路可以自动切换

类型：

源地址策略路由：

多线路负载路由：

高可用性

建立条件：

• 网口数量

• CPU核心个数、内存大小、磁盘大小

• 设备序列号功能开启且保持一致

• appversion版本信息一致

• 配置同步要一致，这是双机配置

• vrrp组的配置要一致

主线路和辅线路

抢占

网口监控

链路监控：ARP、DNS、PING

虚拟IP与虚拟mac：

双机的ip地址和mac地址是一样的

同一个vrid组中的对应接口拥有相同的IP地址

虚拟mac=vrrp mac+接口序号+vrid

主备部署

主主部署

双机聚合

主主部署的AF做透明接口模式或者虚拟网线模式，主主部署在中间，由于会出现请求和回应的数据流经不同的AF，导致来回数据包在AF上的连接跟踪不一致被丢包

终端上网安全--应用控制技术

应用控制策略功能：

基于服务的控制策略

基于应用的控制策略

配置步骤：

1. 创建应用控制策略，允许PC访问公司财务服务器

2. 创建应用控制策略，禁止PC访问P2P应用

3. 创建应用策略，允许PC在特定时间内访问互联网

长连接

应用控制策略辅助功能

配置步骤：

1. 启用失效策略检测

2. 标签管理

3. 策略优化

4. 策略生命周期管理

VPN技术 virtual private network

sangforssl vpn的WAN支持的线路策略：

支持配置规定的IP

支持ADSL拨号

支持配置DHCP自动获取

不支持VLAN ID

vpn的定义：

是指依靠ISP或其他NSP在共用网络的基础之上构建的专用的安全数据通信网络（逻辑上的），称为虚拟专用网

分类：

按业务类型

1.client-lan vpn（acceess vpn）
​
    基于internet远程访问的vpn
​
2.lan-lan vpn
​
    企业各分支机构之间，企业与其合作者之间。

按网络层次分类：

应用层  SSL VPN等
​
传输层  sangforvpn
​
网络层 IPSec、GRE等
​
网络接口层  L2F/L2TP、PPTP等

常用技术

1. 隧道技术（核心技术） GRE，L2TP,IPSec,SSL,sangforVPN

2. 加解密技术 非对称加密：RSA，ECC，Elgamal，Rabin 对称加密：IDEA，DES，AES，RC系列算法

3. 身份认证技术 标识和鉴别用户的身份 数字签名完成身份的完整性 数字证书 PKI（公开密钥体系）

4. 数据认证技术

5. 密钥管理技术

IPSec协议簇

机密性

完整性

数据源鉴别

重传攻击保护

不可否认性

IPSEC工作模式：

传输模式：应用于主机和主机之间端到端通信的数据保护

隧道模式：应用于私网和私网之间通过公网进行通信，建立安全VPN通道

IPSEC通信协议

AH协议：Authentication Header，认证报头

安全服务：
​
    无连接数据完整性
​
    数据源认证
​
    抗重放攻击（报头中的序列号）
​
AH不提供任何保密性服务：它不加密所保护的数据包

ESP封装安全有效载荷

安全服务：
​
    无连接数据完整性
​
    数据源认证
​
    抗重放攻击（报头中的序列号）
​
    数据保密
​
    有限的数据流保护

原始IP包头、源、目的IP ESP头 IP数据TCP/UDP/ICMP ESP尾 ESP认证

新IP包头源、目的IP ESP头 原始IP包头，源、目的IP IP数据 TCP/UDP/ICMP 填充 ESP鉴定

安全特性	AH	ESP
协议号	51	50
数据完整性校验	支持	支持（不支持验证IP头）
数据源验证	支持	支持
数据加解密	不支持	支持
抗重放攻击	支持	支持
NAT-T（NAT穿越）	不支持	支持

IPSEC建立阶段

安全联盟SA：

SA是通信对等体间对某些要素的约定，通信的双方符合

SA约定的内容，就可以建立SA

IKE为IPSec协商生成密钥，供AH/ESP加解密和验证使用

密钥交换管理协议：（IKE）

阶段一：建立ISAKMP安全联盟

主模式：自动生成双方身份ID

野蛮模式：可以手动配置身份ID

阶段二：建立IPSec安全联盟，产生真正可以用来加密数据流的密钥

quick mode

IKE为IPSec协商生成密钥。供AH/ESP加解密和验证使用。

两个数据库：

安全策略数据库SPD

安全关联数据库SAD

解释域

VPN隧道黑洞：

对端的vpn连接已经断开而我方还处在SA的有效生存期时间内，从而形成了VPN隧道黑洞

DPD：死亡对等体检测，检查对端的ISAKMP SA是否存在。当VPN隧道异常的时候，能检测并重新发起协商，来维持VPN隧道

采用空闲计时器机制

默认发出5次请求之后都没有收到任何DPD应答就会删除SA

SSL VPN

表示层和会话层

ssl握手协议：采用公钥加密算法进行密文的传输

ssl修改密文协议：

ssl报警协议：

SSLVPN技术优势

身份安全

终端安全

传输安全

应用权限安全

审计安全

SSLVPN组网方案

网关模式组网

作为网络出口设备：配置设备的内外网口地址信息，支持配置IPv6地址，外网口如果是拨号场景需要先配置拨号

上网代理：NAT代理上网

单臂模式组网

单臂模式配置：给设备LAN口分配一个IP地址，填写正确的网关IP，DNS，支持配置IPv6地址

前置网关做 TCP 443和80端口映射

SSLVPN集群部署

集群：

一组设备的组合，作为一个整体向用户提供一组网络资源服务，这个单个系统就是集群的节点

CIP：

集群虚拟IP地址，及所有集群节点对外呈现的一个共同的IP地址

集群类型：

负载均衡集群

主备集群

主备集群不需要集群序列号也可以使用

LAN口地址必须和集群IP地址同网段

SSL VPN集群支持网关（单线路和多线路）、单臂（单线路和多线路）两种部署模式

SSL VPN基本配置

SSL VPN授权

SSL VPN并发接入用户数授权

IPSec移动用户数：SANGFOR VPN移动端PDLAN并发用户数授权

SSL高可用部署

分布式集群

移动接入身份认证

用户的身份安全性

身份认证技术：用户名密码、短信认证、口袋助理、Ukey认证、动态令牌、CA证书

主要认证：（必须选择一种）

1、本地认证

• 本地用户名/密码(微信扫码登录)  公有/私有用户

• 数字证书 /DKEY认证 私有用户

2、外部认证

• LDAP服务器  公有/私有用户

• Radius服务器CA认证  公有/私有用户

• AD域单点登录

• HTTP(S)第三方接口对接

辅助认证：（可选）短信认证（私有用户）、硬件特征码（公有/私有用户）、令牌认证（RADIUS认证）（私有用户）

组合方式：主认证至少需要一种，辅认证不能单独使用，主认证可以单独使用

SSL用户和用户组

私有用户只能同时一个人登录，公有用户允许多人同时登录

每个用户属于唯一的用户组

root根组和默认用户组无法删除

LDAP：轻量级目录访问协议，

HTTP/HTTPS 主/辅助认证技术原理

TOTP动态令牌认证：基于时间戳的一次性密码，必须开启时间同步。设置时间误差  （公有/私有）

移动接入资源发布技术

资源是指远程接入SSL VPN后终端允许访问的网络服务

web应用：泛域名解析技术

TCP应用：通过在Client安装Proxy控件，

L3VPN：客户端需要安装虚拟网卡，从虚拟网卡进行封装、加密。

支持应用类型：支持TCP，UDP，ICMP，SMTP，POP协议的应用

虚拟IP池：

用户、角色、资源:

移动安全接入策略

策略组

策略组用来设置用户的接入VPN的安全策略

实验

单臂单线路部署

1. 给设备LAN口分配一个可以上网的IP地址，填写正确的网关IP地址，DNS服务地址

2. 前置网关做TCP 443端口的映射，实现SSL VPN用户的接入

3. 创建用户 私有用户

4. 新建角色并关联给用户单臂单线路

5. 创建资源，并授权给角色ssltest。角色的作用是为了将资源与用户进行关联，令用户可以访问到指定的资源

6. 登录验证

默认端口为443，但是可以修改

【系统设置】-【SSLVPN选项】-【系统选项】-【接入选项】的用户访问入口修改https的端口就可以

单臂多线路

1、确认授权，单臂模式下，如果需要使用多线路，设备必须也具备多线路的授权

2、设置单臂模式，LAN口IP地址，网关，以及DMZ口IP地址

3、前置设备做端口映射：前置设备需要做两条线路（电信、网通）的80端口、443端口映射到172.172.2.200。（如果用到IPSEC VPN 还需要映射TCP / UDP  4009端口）。需要注意：80端口也是必须映射的，因为多线路选路功能是依赖80端口来选路的，如果80端口不映射，将无法实现多线路选路功能。

4、设置SSL VPN多线路选路，新增公网出口线路真实的公网IP地址。此处是单臂多线路场景，配置：[系统配置]-[网络配置]-[多线路]，只勾选[启用SSL VPN多线路]，并且新增两条外网线路真实的公网IP地址

5、要使用SSL VPN自动选路功能，需开启HTTP端口

6、新建用户、角色等操作同上，不再赘述。新建一个L3VPN资源，并授权给角色

7、登录验证

思考：

1、单臂多线路场景下是否客户端选路的条件是否只会依据下载图片返回的时间来选路？

不会，还会依据时间差，在不超过一定的时间差内还是会优先用户选择访问的外网IP地址。

2、单臂多线路场景下，当其中一条线路断开，外网通过已断掉线路的地址访问能否跳转到另外一条线路？

不能。

iptables防火墙

服务进行网络访问控制：

Wtcprapper

配置文件：设置黑白名单

交给xinted管理

系统进行访问控制：

防火墙

分类：

1. 硬件防火墙

2. 软件防火墙

netfilter模块  内核空间，是内核的一部分
iptables -L
iptables -t 表名 -L
四张表：filter（in、out、for） nat（pre、out、pos） mangle（全部链） raw（pre、out）
五条链：prerouting input output forward postrouting
规则：
​
功能：
1.数据包的过滤和网络控制 filter
2.地址转换 nat 源地址和目的地址
3.数据包打标记 mangle
4.追踪 raw

iptables -t[表名] 命令选项 [链名] [规则号码] [条件匹配] [-j目标动作] 小写 大写        大写                      小写           大写

命令选项：用于指定管理iptables规则的方式

规则号码：用于指定规则的编号

条件匹配：用于指定对符合什么样条件的数据包进行处理

目标动作：用于指定数据包的处理方式

选 项	功 能
-A	添加防火墙规则
-D	删除防火墙规则
-I	插入防火墙规则
-F flash	清空防火墙规则
-L list	列出添加防火墙规则
-R replace	替换防火墙规则
-Z	清空防火墙数据表统计信息
-P	设置链默认规则

触发动作	功 能
ACCEPT	允许数据包通过
DROP	丢弃数据包
REJECT	拒绝数据包通过
LOG	将数据包信息记录 syslog 曰志
DNAT	目标地址转换
SNAT	源地址转换
MASQUERADE	地址欺骗
REDIRECT	重定向

参 数 功 能 [!]-p 匹配协议，! 表示取反 [!]-s 匹配源地址 [!]-d 匹配目标地址 [!]-i 匹配入站网卡接口 [!]-o 匹配出站网卡接口 [!]--sport 匹配源端口 [!]--dport 匹配目标端口 [!]--src-range 匹配源地址范围 [!]--dst-range 匹配目标地址范围 [!]--limit 四配数据表速率 [!]--mac-source 匹配源MAC地址 [!]--sports 匹配源端口 [!]--dports 匹配目标端口 [!]--stste 匹配状态（INVALID、ESTABLISHED、NEW、RELATED) [!]--string 匹配应用层字串

filter表

iptables -t filter -A INPUT -s 10.1.1.3 -j ACCEPT允许源地址为10.1.1.3进入
iptables -t filter -A INPUT ! -s 10.1.1.3 -j ACCEPT不允许源地址为10.1.1.3进入
iptables -t filter -A INPUT -s 10.1.1.3 -j DROP拒绝源地址为10.1.1.3进入
iptables -t filter -A OUTPUT -d 10.1.1.3-j DROP丢弃到达目标地址为10.1.1.3的包iptables -t filter -A OUTPUT ! -d 10.1.1.3 -j ACCEPT丢弃到达目标地址为10.1.1.3的包
iptables -t filter -A INPUT -d 10.1.1.2 -j DROP丢弃所有到目标地址10.1.1.2的包iptables -t filter -A OUTPUT -s 10.1.1.2 -j ACCEPT 源地址为10.1.1.2出去的包全部允许

iptables
iptables -nL 
-n 表示不对 IP 地址进行反查，加上这个参数显示速度将会加快。
-v 表示输出详细信息，包含通过该规则的数据包数量、总字节数以及相应的网络接口。

iptables内置模块
多端口指定：
multiport
[root@localhost ~]# iptables -t filter -I INPUT -m multiport -p tcp --dports 20:22,80 -j ACCEPT

指定IP地址范围：
iprange 
[root@localhost ~]# iptables -t filter  -I INPUT -m iprange --src-range 10.1.1.2-10.1.1.10 -p tcp --dport 80 -j ACCEPT


被动模式：ftp
[root@localhost ~]# iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
开启端口的访问
[root@localhost ~]# iptables -t filter -A OUTPUT -p tcp --sport 20:21 -j ACCEPT

限制ftp的数据传输的端口
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf 
pasv_min_port=2000
pasv_max_port=3000

[root@localhost ~]# iptables -t filter  -A INPUT -p tcp --dport
 2000:3000 -j ACCEPT
[root@localhost ~]# iptables -t filter  -A OUTPUT -p tcp --sport 2000:3000 -j ACCEPT

状态连接：
state
[root@localhost ~]# iptables -t filter  -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

[root@localhost ~]# firewall-cmd --state
running
[root@localhost ~]# echo $?
0
测试上条命令是否正确执行


iptables -t filter -A INPUT -j REJECT

NAT表

地址转换

三条链：
PREROUTING
POSTROUTING
OUTPUT

处理动作：
nat表
-j SNAT
-J DNAT
-J MASQUERADE  地址伪装

SNAT（源地址转换）

 proc/sys/net/ipv4/ip_forward
 开启路由转发的功能
 
 地址转换功能：
 [root@localhost ~]# iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -j SNAT --to 2.2.2.1

地址转换在路由之后

DNAT（目的地址转换）

地址转换在路由之前
[root@localhost ~]# iptables -t nat  -A PREROUTING -d 192.168.1
2.1 -j DNAT --to 10.1.1.2

iptables -P OUTPUT DROP
iptables -L
ping 10.1.1.2 

iptables -t filter -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type 0 -j ACCEPT
可以ping其他主机，其他主机的回应也可以收到

iptables -t filter -A INPUT -s 10.1.1.2 -p icmp --icmp-type 8 -j ACCEPT
iptables -t filter -A OUTPUT -d 10.1.1.2 -p icmp --icmp-type 0 -j ACCEPT
设置只有10.1.1.2可以ping通

nat-server 2.2.2.1 10.1.1.1
cat /proc/sys/net/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -d 2.2.2.1 -p  tcp --dport 80 -j DNAT --to 10.1.1.3
 
web-server  10.1.1.3
systemctl restart httpd
echo "hello world" > /var/www/html/index.html
netstat -nltp | grep httpd
配置回包路由
route add default gw 10.1.1.1
​
client  2.2.2.2
wget http://2.2.2.1

firewall-cmd not found
​
yum -y install firewalld

firewalld的基本使用
​
启动： systemctl start firewalld
​
关闭： systemctl stop firewalld
​
查看状态： systemctl status firewalld
​
开机禁用 ： systemctl disable firewalld
​
开机启用 ： systemctl enable firewalld
​
查看开放的端口：firewall-cmd --list-ports