项目背景：现在有一个新项目，要求设置网站黑白名单，即vlan84这个网段只允许访问*.kuaidi100.之类的，其他的不允许；vlan85这个网段.youku.*等视频网段不能访问外，其他的都可以访问。要求如下：vlan84192.168.184.0/24白名单设置：只允许访问以下网站.kuaidi100..sf-express..yto..zto..800bestex.…等等网址；vlan85192.168.185.0/24黑名单设置：不允许访问以下这些网站，除此之外的网址都可以访问.youku..bilibili..iqiyi..tudou.…等等网址；防火墙操作步骤如下：一、作白名单操

安全设备接入网络部署方式——以防火墙为例一、串联1.路由模式2.透明模式二、旁挂1.旁路监听2.旁路代理一、串联安全设备串联接入网络，若安全设备故障，整个网络故障。1.路由模式把防火墙当作路由器来用，与交换路由的配置没有区别。若用户原本网络中没有防火墙，接入需要改变原本的地址规划。比如：原本出口设备与核心交换机串联，使用的接口地址是同一网段，现加入防火墙，原接口地址需要更换成不同网段的。2.透明模式在防火墙上做网桥，将流量进出端口加入网桥。接入用户网络时，进出流量是直接由桥传输，不需要修改用户原本网络配置。网桥使用端口地址是防火墙内部的逻辑地址，与外部其他设备的IP地址并无关联。用透明模式串网

        在上一篇文章中讲到ifconfig命令然而有些小伙伴在使用命令时会发现ens33不显示虚拟机的网络IP地址。在这篇文章中我们会解决这个问题并且简单介绍下关于防火墙的命令。一、防火墙命令介绍输入指令：systemctlstatusfirewalld可以查看虚拟机防火墙状态。 如果出现上面的active(running)绿色提示则防火墙处于打开状态，反之，则如下面的图片。systemctlstop firewalld            防火墙关闭命令systemctlstart firewalld            防火墙开启命令systemctlrestart firew

本系列文章包含：【网络安全】防火墙知识点全面图解（一）【网络安全】防火墙知识点全面图解（二）【网络安全】防火墙知识点全面图解（三）防火墙知识点全面图解（一）1、什么是防火墙？2、防火墙有哪些类型？3、防火墙有哪些技术类型？4、什么是代理服务器？5、防火墙有哪些接口模式？6、防火墙能防范哪些威胁？7、有哪些人会威胁安全？8、防火墙有哪些功能？9、什么是会话？10、什么是TCP连接管理？11、防火墙如何建立会话？12、什么是会话生存时间？13、会话如何正常终止？14、什么是UDP数据流？15、没有端口号的协议如何生成会话？16、两台防火墙，如何管理会话？17、会话管理有什么防御功能？18、如何防范

   免费的web应用防火墙最出名的非ModSecurity莫属。ModSecurity一度以维护者众多，规则更新较积极，并且免费而受安全圈追捧，然而随着时代变迁，ModSecurity的多种致命缺陷也逐渐暴露，包括：缺乏管理后台，使用起来极为不便。安全规则过于粗糙，很容易产生误报，从而影响正常业务。创新性不足，没有智能机器学习、语法语义分析等更为强大的安全引擎。   今天给大家推荐一款有安科技出品，由社区驱动的免费、高性能、高扩展顶级Web应用安全防护产品-南墙。南墙 WEB应用防火墙（简称：uuWAF）是有安科技推出的一款全方位网站防护产品。通过有安科技专有的WEB入侵异常检测等技术，结合

防火墙防火墙主要作用是隔离功能，它是部署在网络边缘或主机边缘；另外在生产中防火墙的主要作用是：决定哪些数据可以被外网访问以及哪些数据可以进入内网访问；顾名思义防火墙处于TCP协议中的网络层。防火墙分类：软件防火墙：360，iptables，firewalld硬件防火墙：路由器，交换机，三层交换机防火墙保护范围：主机防火墙：服务范围就是当前的主机网络防火墙：服务范围为防火墙一侧的局域网,必经之路实现方式：软件防火墙：代码实现判断硬件防火墙：既有专业的硬件来实现防火墙功能，又有软件来进行配合网络协议划分：网络层：包过滤防火墙  应用层(代理服务器)：设置数据的进出网络协议划分：网络层：包过滤防火墙

前言之前的文档中，描写了如何对WFP防火墙进行操作以及如何在防火墙日志中读取被防火墙拦截网络通讯的日志。这边文档，着重描述如何读取操作系统中所有被放行的网络通信行为。读取系统中放行的网络通信行为日志，在win10之后的操作系统上，也可以通过前一篇提到的读取阻断日志的方式进行读取（以FWPM_NET_EVENT0.type字段区分），但是在较老的系统中却不支持直接读取。为了保持系统兼容性，可以通过读取操作系统安全日志（EventId:5156）的方式进行网络通信日志的采集。需要注意的坑点查询放行日志时需要注意，每个网络通信行为在日志中只会出现一条放行记录，对应的筛选器ID，只会是首次对其进行审计

一、防火墙1.1查看防火墙状态若防火墙没打开，先打开防火墙。systemctlstatusfirewalld1.2打开防火墙systemctlstartfirewalld1.2.1打开防火墙失败//执行取消服务的锁定systemctlunmaskfirewalld.service//下次需要锁定该服务时执行systemctlstartfirewalld.service1.3关闭防火墙systemctlstopfirewalld二、查看端口开放状态2.1查询指定端口是否已开运行命令后，返回yes表示已打开，返回no表示未打开。firewall-cmd--query-port=10050/tcp三

一.概念iptables其实不是真正的防火墙，我们可以把它理解成一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的安全框中，这个全框才是真正的防火墙，这个框架的名字叫netfilternetfilter才是防火墙真正的安全框架（framework），netfilter位于内核空间，iptables其实是一个命令行工具，位于用户空间，我们用这个工具操作真正的框架数据包信息表=源地址、目的地址、传输协议（如TCP）和服务类型（如HTTP）数据包信息表=源地址、目的地址、传输协议（如TCP）和服务类型（如HTTP）数据包信息表=源地址、目的地址、传输协议（如TCP）和服务

园区网络安全设计——出口防火墙网络接入人员众多，业务复杂，流量构成丰富多样；容易成为DDoS攻击的目标，而且一旦攻击成功，业务损失巨大；网络病毒活跃，严重威胁网络安全和终端的安全；出于业务需求，内网对外提供网络服务，例如公司网站、邮件服务等，这些潜在的不安全因素都威胁着园区网络的安全。防火墙作为整个网络和出口，肩负着整个网络的安全责任，针对上述安全需求，可在出口防火墙上部署如下安全业务：将企业员工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检测和保护。根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对文件服务器开启文件过滤和内容过滤，针对邮件服务器