防火牆和系統安全防護和優化

一、定義：防火牆（firewall）是通過有機結合各類用於安全管理與篩選的軟體和硬體裝置，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護使用者資料與資訊安全性的一種技術。

防火牆技術的功能主要在於及時發現並處理計算機網路執行時可能存在的安全風險、資料傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網路安全當中的各項操作實施記錄與檢測，以確保計算機網路執行的安全性，保障使用者資料與資訊的完整性，為使用者提供更好、更安全的計算機網路使用體驗。

二、功能：

（1）入侵檢測功能

網路防火牆技術的主要功能之一就是入侵檢測功能，主要有反埠掃瞄、檢測拒絕服務工具、檢測cgi/iis伺服器入侵、檢測木馬或者網路蠕蟲攻擊、檢測緩衝區溢位攻擊等功能，可以極大程度上減少網路威脅因素的入侵，有效阻擋大多數網路安全攻擊。 [3]

（2）網路位址轉換功能

利用防火牆技術可以有效實現內部網路或者外部網路的ip位址轉換，可以分為源位址轉換和目的位址轉換，即snat和nat。snat主要用於隱藏內部網路結構，避免受到來自外部網路的非法訪問和惡意攻擊，有效緩解位址空間的短缺問題，而dnat主要用於外網主機訪問內網主機，以此避免內部網路被攻擊。

（3）網路操作的審計監控功能

通過此功能可以有效對系統管理的所有操作以及安全資訊進行記錄，提供有關網路使用情況的統計資料，方便計算機網路管理以進行資訊追蹤。

（4）強化網路安全服務

防火牆技術管理可以實現集中化的安全管理，將安全系統裝配在防火牆上，在資訊訪問的途徑中就可以實現對網路資訊保安的監管。

三、主要型別

（1）過濾型防火牆

過濾型防火牆是在網路層與傳輸層中，可以基於資料源頭的位址以及協議型別等標誌特徵進行分析，確定是否可以通過。在符合防火牆規定標準之下，滿足安全效能以及型別才可以進行資訊的傳遞，而一些不安全的因素則會被防火牆過濾、阻擋。

（2）應用**型別防火牆

應用**防火牆主要的工作範圍就是在ois的最高層，位於應用層之上。其主要的特徵是可以完全隔離網路通訊流，通過特定的**程式就可以實現對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆，其他一些防火牆應用效果也較為顯著，在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的型別，這樣才可以有效地避免防火牆的外部侵擾等問題的出現。

（3）複合型

目前應用較為廣泛的防火牆技術當屬複合型防火牆技術，綜合了包過濾防火牆技術以及應用**防火牆技術的優點，譬如發過來的安全策略是包過濾策略，那麼可以針對報文的報頭部分進行訪問控制；如果安全策略是**策略，就可以針對報文的內容資料進行訪問控制，因此複合型防火牆技術綜合了其組成部分的優點，同時摒棄了兩種防火牆的原有缺點，大大提高了防火牆技術在應用實踐中的靈活性和安全性。

三、firewalld基本使用

啟動： systemctl start firewalld

關閉： systemctl stop firewalld

檢視狀態： systemctl status firewalld

開機禁用： systemctl disable firewalld

開機啟用： systemctl enable firewalld

配置firewalld-cmd

檢視版本： firewall-cmd --version

檢視幫助： firewall-cmd --help

顯示狀態： firewall-cmd --state

檢視所有開啟的埠： firewall-cmd --zone=public --list-ports

更新防火牆規則： firewall-cmd --reload

檢視區域資訊: firewall-cmd --get-active-zones

檢視指定介面所屬區域： firewall-cmd --get-zone-of-inte***ce=eth0

拒絕所有包：firewall-cmd --panic-on

取消拒絕狀態： firewall-cmd --panic-off

檢視是否拒絕： firewall-cmd --query-panic

一、linux系統安全

1、使用 last 命令檢視伺服器近期登入的賬戶記錄，確認是否有可疑ip登入過機器；

檢查說明：攻擊者或者惡意軟體往往會往系統中注入隱藏的系統賬戶實施提權或其他破壞性的攻擊

解決方法：檢查發現有可疑使用者時，可使用命令「usermod -l 使用者名稱」禁用使用者或者使用命令「userdel -r 使用者名稱」刪除使用者。

風險性：高

2、通過 less /var/log/securegrep 『accepted』命令，檢視是否有可疑ip登入機器成功；

檢查說明：攻擊者或者惡意軟體往往會往系統中注入隱藏的系統賬戶實施提權或其他破壞性的攻擊

解決方法：使用命令「usermod -l 使用者名稱」禁用使用者或者使用命令「userdel -r 使用者名稱」刪除使用者。

風險性：高

3、檢查系統是否採用預設管理埠

檢查說明：檢查系統所用的管理埠（ssh、ftp、mysql、reids等）是否為預設埠，這些預設埠往往被容易自動化的工具進行爆破成功

2、執行 /etc/init.d/sshd restart 命令重啟是配置生效；

3、修改ftp、mysql、reids等的程式配置檔案的預設監聽埠21、3306、6379為其他埠；

風險性：高

4、檢查下 /etc/passwd 這個檔案，看是否有非授權賬戶登入；

檢查說明：攻擊者或者惡意軟體往往會往系統中注入隱藏的系統賬戶實施提權或其他破壞性的攻擊

解決方法：使用命令「usermod -l 使用者名稱」禁用使用者或者使用命令「userdel -r 使用者名稱」刪除使用者。

風險性：中

5、執行 netstat –antlp 檢視下伺服器是否有未被授權的埠被監聽，檢視下對應的pid。

檢查說明：檢查伺服器是否存在惡意程序,惡意程序往往會開啟監聽埠，與外部控制機器進行連線

解決方法： 1、若發先有非授權程序，執行ls -l /proc/pid

/exe

或fil

e/pr

oc/pid/exe或file /proc/

pid/ex

e或fi

le/p

roc/

pid/exe ($pid為對應的pid號) ，檢視下pid所對應的程序檔案路徑

2、如果為惡意程序，刪除下對應的檔案即可。

風險性：高

6、使用 ps -ef 和 top 命令檢視是否有異常程序

檢查說明：執行以上命令，當發現有名稱不斷變化的非授權程序占用大量系統cpu或記憶體資源時，則可能為惡意程式

解決方法：確認該程序為惡意程序後，可以使用「kill -9 程序名」命令結束程序，或使用防火牆限制程序外聯

風險性：高

7、使用 chkconfig --list 和 cat /etc/rc.local 命令檢視下開機啟動項中是否有異常的啟動服務

檢查說明：惡意程式往往會新增在系統的啟動項，在使用者關機重啟後再次執行

解決方法：如發現有惡意程序，可使用「chkconfig 服務名 off」命令關閉，同時檢查 /etc/rc.local 中是否有異常專案，如有請注釋掉。

風險性：高

8、進入cron檔案目錄，檢視是否存在非法定時任務指令碼

檢查說明：檢視/etc/crontab，/etc/cron.d，/etc/cron.daily，cron.hourly/，cron.monthly，cron.weekly/是否存在可以指令碼或程式

解決方法：如發現有不認識的計畫任務，可定位指令碼確認是否正常業務指令碼，如果非業務指令碼呢，可直接注釋掉任務內容或刪除指令碼。

風險性：高

防火牆和系統安全防護和優化

防火牆 系統安全防護和優化

防火牆和系統安全防護和優化

防火牆和系統安全防護和優化

相關推薦

防火牆系統安全防護和優化