安全技术与防火墙

目录

安全技术

防火墙

按保护范围划分:

按实现方式划分:

按网络协议划分.

数据包

四表五链

规则链

默认包括5种规则链

规则表

默认包括4个规则表

四表

查询

格式:

规则

面试题

NFS常见故障解决方法


安全技术

入侵检测系统 (Intrusion Detection Systems) : 特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主入侵检测系统 提供有针对性的指导措施和安全决策依据,类 似于监控系统一般用旁路部署 (默默的看着你) 方式

入侵防御系统 (Intrusion Prevention System) : 以透明模式工作,分析数据包的内容如: 溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效保护网络的安全,一般采用在线部署方式。 (必经之路)

防火墙 ( FireWall ) :隔离功能,工作在网络或主机边缘,对过出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行理的一组功能的组件,基本上的实现都是默 认情况下关闭所有通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarizeozone)网络中

防水墙 广泛意义上的防水墙: 防水墙 (waterwa11) ,与防火墙相对,是一种防止内部信息泄漏的安全产品。网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径,在事前、事 中、事后进行全面防:。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

防火墙

按保护范围划分:

主机防火墙: 服务范围为当前一台主机

网络防火墙: 服务范围为防火墙一侧的局域网

按实现方式划分:

硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现

软件防火墙: 运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙ISA --> Forefront

按网络协议划分.

网络层防火墙: OSI模型下四层,又称为包过滤防火墙 协议 端口号 ip mac

应用层防火墙/代理服务器: proxy 代理网关,OSI模型七层

数据包

mac头部 IP头部 协议/端口 七层协议(http) 真实数据 校验位

收包 拆包 检查没问题 装包

收包 拆包 检查有问题 隔离或者丢弃

四表五链

网卡------内核(netfilter)

pre-routing:路由选择前

post-routing:路由选择后

input: 进入入本机

output: 出本机

forward:转发

规则链

规则的作用:对数据包进行过滤或处理

链的作用:容纳各种防火墙规则

链的分类依据:处理数据包的不同时机

默认包括5种规则链

INPUT:处理进入本机的数据包

OUTPUT:处理从本机出去的数据包

FORWARD:处理转发数据包

POSTROUTING链: 在进行路由选择后处理数据包

PREROUTING链:在进行路由选择前处理数据包

规则表

表的作用:容纳各种规则链

表的划分依据:防火墙规则的作用相似

默认包括4个规则表

raw表:确定是否对该数据包进行状态跟踪

mangle表:为数据包设置标记

nat表:修改数据包中的源、目标IP地址或端口

filter表: 确定是否放行该数据包(过滤)

表的作用是存放链

链决定了在什么地方控制流量

表中有链,链中有规则

四表

raw : 跟踪数据包

mangle: 标记 优先级

nat:地址转换

filter:流量过滤 筛选数据包哪些可以通过 哪些不可以通过

五链

input:进入本机的流量

output:出本机的 流量

forward :转发数据包

prerouting :路由判断前

postrouting: 路由判断后

查询

iptables -vnL [-t 表名]

v 详细

n 数字

L 防火墙列表

iptables [-t 表名] -vnL --line-num显示行号

iptables [-t filter] l或A 链 (INPUT) 规则

格式:

iptables -t 指定表 子命令 指定链 规则

查看 规则 -vnL

查看iptables 的规则

iptables -vnL [-t 表名]

如果查看不是 filter表需要指明表

iptables -vnL -t nat

给规则加上序号: iptables [-t表名] -vnL --line-num

添加规则 A I

iptables -A INPUT -s 192.168.233.0/24 -j ACCEPT或DROP 或REJECTA 在末尾追加

-I 需要指明序号 -I INPUT 1 在INPUT链的规则第一条前添加,我就变成第一条了

iptables -l INPUT 2 -s 192.168.91.0/24 -j ACCEPT

删除规则 D F

iptables [-t 表名] -F

iptables -D 链 规则序号

iptables -t filter -D INPUT 2:删除filter表中INPUT链中的第二条规则

修改默认规则(默认是允许通过 黑名单)

iptables -P INPUT DROP

iptables -P INPUT ACCEPT

替换规则 R

iptables -R INPUT 1 -s 192.168.233.1 -j ACCEPT

跳转 -j

DROP 丢弃

REJECT 拒绝

ACCEPT 允许

LOG 日志 添加备注

SNAT 源地址 转换

DNAT 目的地址转换

规则

-s 源地址

-d 目的地址

--sport

--dport

-p tcp udp icmp

-i 进口网卡

-o 出口网卡

面试题

1.100可以访问 101 所有服务

101不可以 访问 100的所有服务

iptables -A INPUT -s 192.168.91.101 j REJET

iptables -A INPUT -s 192.168.91.101 -m state --state NEW |-j REIET

2.永久打开路由转发功能

vim /etc/sysctl.conf

net.ipv4.ip_forward=1   #将此行写入配置文件

3.

NFS常见故障解决方法

启用了的iptables state 模块 用户 访问有问题 查看 日志 table full drop pket,后来研究 发现,有一个内核选项的默认值 过低 netfilter/nf conntrack max 默认 65536把这个值 调 大一点

cat /proc/net/nf conntrack
启用后会写在这个文件中

1smod |grep conn  内核模块可以看到,调用state状态时可以看到

cat /proc/sys/net/netfilter/nf_conntrack max 记录的用户数为 65536

echo 1 > /proc/sys/net/netfilter/nf_conntrack max   修改最大记录数
tail /var/Tog/messages   查看日志




Nov 29 12:08:53 ocalhost kernel: nf_conntrack: table full, dropping packet
cat/proc/sys/net/netfilter/nf_conntrack_max  这个 参数 设置的 太小了


(1)The rpcbind failure error
故障现象:
nfs mount: server1:: RPC: Rpcbind failure
RPC: Timed Out
nfs mount: retrying: /mntpoint
故障原因:
第一,可能因为客户机的hosts文件中存在错误的ip地址、主机名或节点名组合;
第二,服务器因为过载而暂时停止服务。
(2)The server not responding error
故障现象:
NFS server server2 not responding, still trying
故障原因:
第一,网络不通,用ping命令检测一下。
第二,服务器关机。
(3)The NFS client fails a reboot error
故障现象:
启动客户机后停住了,不断显示如下提示信息:
Setting default interface for multicast: add net 224.0.0.0: gateway:
client_node_name.
故障原因:
在etc/vfstab的mount选项中使用了fg而又无法成功mount服务器上的资源,改成bg或将该行注释掉,直到服务器可用为止。
(4)The service not responding error
故障现象:
nfs mount: dbserver: NFS: Service not responding
nfs mount: retrying: /mntpoint
故障原因:
第一,当前级别不是级别3,用who -r查看,用init 3切换。
第二,NFS Server守护进程不存在,用ps -ef | grep nfs检查,用/etc/init.d/nfs start启动。
(5)The program not registered error
故障现象:
nfs mount: dbserver: RPC: Program not registered
nfs mount: retrying: /mntpoint
故障原因:
第一,当前级别不是级别3。
第二,mountd守护进程没有启动,用/etc/init.d/nfs脚本启动NFS守护进程。
第三,看/etc/dfs/dfstab中的条目是否正常。
(6)The stale file handle error
故障现象:
stale NFS file handle
故障原因:
服务器上的共享资源移动位置了,在客户端使用umount和mount重新挂接就可以了。
(7)The unknown host error
故障现象:
nfs mount: sserver1:: RPC: Unknown host
故障原因:
hosts文件中的内容不正确。
(8)The mount point error
故障现象:
mount: mount-point /DS9 does not exist.
故障原因:
该挂接点在客户机上不存在,注意检查命令行或/etc/vfstab文件中相关条目的拼写。
(9)The no such file error
故障现象:
No such file or directory.
故障原因:
该挂接点在服务器上不存在,注意检查命令行或/etc/vfstab文件中相关条目的拼写。
(10)No route to host
故障现象:
# mount 192.168.115.120:/opt/data /data -t nfs -o rw
mount: mount to NFS server ‘192.168.115.120’ failed: System Error: No route to host.
故障原因:
防火墙被打开,关闭防火墙。
这个原因很多人都忽视了,如果开启了防火墙(包括iptables和硬件防火墙),NFS默认使用111端口,我们先要检测是否打开了这个端口,还要检查TCP_Wrappers的设定。
(11)Not owner
故障现象:
# mount -F nfs -o rw 192.168.115.120:/mnt/data /data
nfs mount: mount: /data: Not owner
故障原因:
这是Solaris 10版本挂载较低版本nfs时报的错误。
解决:
需要用-o vers=3参数
示例:
# mount -F nfs -o vers=3 192.168.115.120:/mnt/data /data
(12)RPC: Program not registered & retrying
故障现象:
nfs mount: 192.168.115.120: : RPC: Program not registered
nfs mount

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/202973.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

java深浅拷贝

对于Java拷贝的理解 在java语言中,当我们需要拷贝一个对象的时候,常见的会有两种方式的拷贝:深拷贝和浅拷贝。 浅拷贝 只是拷贝了原对象的地址,所以原对象的任何值发生改变的时候,拷贝对象的值也会随之而发生变化。 拿…

ESP32-Web-Server编程- 使用SSE 实时更新设备信息

ESP32-Web-Server编程- 使用SSE 实时更新设备信息 概述 如前所述,传统 HTTP 通信协议基于 Request-Apply(请求-响应)机制,浏览器(客户端)只能单向地向服务器发起请求,服务器无法主动向浏览器推…

数据链路层之组装成帧和透明传输

学习的最大理由是想摆脱平庸,早一天就多一份人生的精彩;迟一天就多一天平庸的困扰。各位小伙伴,如果您: 想系统/深入学习某技术知识点… 一个人摸索学习很难坚持,想组团高效学习… 想写博客但无从下手,急需…

接口测试之测试原则、测试用例、测试流程......

一、接口的介绍 软件测试中,常说的接口有两种:图形用户接口(GUI,人与程序的接口)、应用程序编程接口(API)。 接口(API)是系统与系统之间,模块与模块之间或者…

LeetCode(42)有效的字母异位词【哈希表】【简单】

目录 1.题目2.答案3.提交结果截图 链接: 有效的字母异位词 1.题目 给定两个字符串 *s* 和 *t* ,编写一个函数来判断 *t* 是否是 *s* 的字母异位词。 **注意:**若 *s* 和 *t* 中每个字符出现的次数都相同,则称 *s* 和 *t* 互为字…

Vue3.x 中 hooks 函数封装和使用

一、hooks 是什么 vue3 中的 hooks 就是函数的一种写法,就是将文件的一些单独功能的 js 代码进行抽离出来进行封装使用。 它的主要作用是 Vue3 借鉴了 React 的一种机制,用于在函数组件中共享状态逻辑和副作用,从而实现代码的可复用性。 注…

ChatGPT人工智能对话系统源码 附完整的搭建教程

人工智能技术的快速发展,对话系统成为了人们与计算机交互的重要方式之一。ChatGPT是一种基于深度学习的大型语言模型,其源码系统可以用于构建各种自然语言处理应用,如聊天机器人、智能客服、语音助手等。 以下是部分代码示例: 系…

41万+账号在抖音卖房获客,如何从中脱颖而出?

随着隔离经济时代的到来,许多传统行业都无法更精准地触达潜在客户,房地产行业也不例外。派单、扫楼、电话等方式已是“地狱级”获客难度,户外、APP广告位也因经费问题陷入困境。 面对营销难,数字化营销是目前很多房企积极探索的新…

【Pytorch】Visualization of Feature Maps(4)——Saliency Maps

学习参考来自 Saliency Maps的原理与简单实现(使用Pytorch实现)https://github.com/wmn7/ML_Practice/tree/master/2019_07_08/Saliency%20Maps Saliency Maps 原理 《Deep Inside Convolutional Networks: Visualising Image Classification Models and Saliency Maps》&…

Latex中多行公式换行及设置编号位置

Latex中多行公式换行及设置编号位置_latex公式换行_泡泡和善意的博客-CSDN博客文章浏览阅读3.2w次,点赞14次,收藏97次。1. 公式换行公式换行的方式有很多种,介绍三种(1)用equation结合aligned:\begin{equat…

springmvc(基础学习整合)

SpringMVC是Spring框架提供的构建Web应用程序的全功能MVC模块。 在SpringMVC的各个组件中,处理器映射器、处理器适配器、视图解析器称为SpringMVC的三大组件。 springMVC基本介绍: http://t.csdnimg.cn/TOzw9 MVC是一种设计思想,将一个应…

Web端专业级H264/H265 直播流播放器实现-JessibucaPro播放器

概况 这个主要是参加“深圳 liveVideoStack” 的ppt的文字版的分享。 深圳 liveVideoStack 讲师介绍 关于Jessibuca 官网地址:jessibuca.comDemo: DemoDoc:DocGithub地址:Github 关于JessibucaPro 地址:JessibucaProDemo: …

Retrofit中的注解

一、Retrofit中的注解有那些? 方法注解:GET ,POST,PUT,DELETE,PATH,HEAD,OPTIONS,HTTP标记注解:FormUrlEncoded,Multpart,Streaming参数注解:Query,QueryMap,Body,Field…

liunx java 生成图片 中文显示不出来

使用java 生成图片,在图片上打的文字水印显示为一个方框,这种情况的原因,一般是liunx系统或者docker容器内,没有你在打文字水印时选择的字体 解决办法,先找一个免费的字体,比如 Alibaba-PuHuiTi-Regular.otf 然后使用字体 File newFileT new File("Alibaba-PuHuiTi-Re…

pytorch环境下安装node2vec

1.刚开始直接pip install 出错 看到是在安gensim时候出错 2.单独安gensim:https://www.lfd.uci.edu/~gohlke/pythonlibs/ 找到合适的版本,cp36就是python3.6,下载以后放在 3.

Android关于杀掉进程的方案

《风波莫听穿林打叶声》—— 苏轼 〔宋代〕 三月七日,沙湖道中遇雨,雨具先去,同行皆狼狈,余独不觉。已而遂晴,故作此词。 莫听穿林打叶声,何妨吟啸且徐行。 竹杖芒鞋轻胜马,谁怕?一蓑…

开放远程访问MySQL的权限

访问远程数据库时,产生Access denied for user ‘root‘‘xxx.xxx.xxx.xxx‘ (using password: YES)异常的解决办法 一. 异常现象 我编写了一个SpringBoot项目,项目中连接的数据库服务器地址是192.168.87.107,然后打包生成了对应的jar包&am…

Flutter应用程序的加固原理

在移动应用开发中,Flutter已经成为一种非常流行的技术选项,可以同时在Android和iOS平台上构建高性能、高质量的移动应用程序。但是,由于其跨平台特性,Flutter应用程序也面临着一些安全风险,例如反编译、代码泄露、数据…

【Openstack Train安装】九、Nova安装

Nova是OpenStack中最核心的组件,它负责根据需求提供虚拟机服务并管理虚拟机生命周期,包括虚拟机创建、虚拟机调度和热迁移等。 Nova的子组件包括nova-api、nova-compute、nova-scheduler、nova-conductor、nova-db、nova-console等等。 本文介绍Nova安装…

Windows11编译Hadoop3.3.6源码

由于https://github.com/kontext-tech/winutils还未发布3.3.6版本,因此尝试源码编译 目录 环境和安装包准备,见2zlib编译方法一:方法二: 配置文件更改1. maven阿里云镜像2. Node版本3. 越过Javadoc检查 编译HadoopError,其他报错…