防火墙和系统安全防护和优化

一 、防火墙

防火墙(Firewall)，也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

1.1作用

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

二、 网络系统安全防护

云盾Web应用防火墙（Web Application Firewall，简称 WAF）基于云安全大数据能力，用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站的安全与可用性。Web应用防火墙使用核心攻防和大数据能力来驱动Web安全，帮助您轻松应对各类Web应用攻击，确保网站的Web安全与可用性。
云盾Web应用防火墙具有10年以上网络安全经验、防御CC攻击和爬虫攻击、集成大数据能力。购买阿里云Web应用防火墙后，把域名解析到Web应用防火墙提供的CNAME地址上，并配置源站服务器IP，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。

2.1Web应用防火墙

云盾Web应用防火墙（Web Application Firewall，简称 WAF）基于云安全大数据能力，用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站的安全与可用性。
把域名解析到Web应用防火墙提供的CNAME地址上，并配置源站服务器IP，即可启用Web应用防火墙。
启用之后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。
查看防火墙状态

2.2应用

2.2.1、查看firewall服务状态：

 systemctl status firewalld

2.2.2.关闭防火墙

systemctl stop firewalld

2.2.3.开启防火墙

systemctl start firewalld

2.2.4.重启防火墙

systemctl restart firewalld

2.2.5.查看防火墙是否开机自启

systemctl is-enabled firewalld

2.2.6.开机自启防火墙

systemctl enable firewalld.service

2.2.7.开机禁用防火墙

systemctl disable firewalld.service

三、Linux系统优化

3.1服务器操作建议

严格按照目录规范操作服务器
远程服务器不允许关机
不要在服务器访问高峰运行高负载命令
远程配置防火墙时，不要把自己踢出服务器
技术策略

3.2、Linux优化步骤

禁用不必要的服务ntsysv
iptables 防火墙服务
network 网络服务
sshd ssh远程管理服务—>加密 telent—>明文
syslog 系统日志服务
crond 系统计划任务服务
xinetd 系统超级守护进程服务
关闭多余的控制台及禁止ctrl+alt+del
修改/etc/inittab文件注释掉多余的控制台，保留2个就可以
防止资源浪费
#3:2345:respawn:/sbin/mingetty tty3
禁止ctrl+alt+del快捷键
防止误操作强制关机
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
网络优化
禁止ping
多台ping服务器会ping崩溃服务器（老服务器）
防止黑客攻击途径
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
禁止源路由包（防止源欺骗）
拦截请求，假装发出包与服务器进行交互
echo 1 > /proc/sys/net/ipv4/conf/*/accept_source_route
打开SYN cookie选项，禁止SYN攻击
SYN包攻击。tcp的三次握手。客户端请求----》服务器一直等待。浪费资源，多台容易崩溃
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
上述三种仅在重启之间生效，需写成脚本，开机自动调用
定时升级Linux系统
yum -y update
严格的安全策略
密码合理并定期跟换密码三原则：
复杂性、易记忆性、时效性
合理分配权限
使用ssh远程管理
保证/etc/shadow的安全
存储linux所有账号和密码
定期备份重要数据和日志