目录一、安全技术1、安全技术2、防火墙分类        二、防火墙1、iptables五表五链2、黑白名单3、iptables基本语法4、iptables选项5、控制类型6、隐藏扩展模块7、显示扩展模块8、iptables规则保存9、自定义链使用一、安全技术1、安全技术①入侵检测系统（IntrusionDetectionSystems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类似于监控系统一般采用旁路部署（默默的看着你）方式。②入侵防御系统（IntrusionPreventionSystem）：以透明模

1.需求分析部分用户需要在命令行界面下进行防火墙基础上网配置，本文展示如何在命令行下配置防火墙的基础上网步骤。2.解决方案2.1软硬件信息硬件平台SG-6000-E1700软件平台StoneOS5.5R7P52.2组网拓扑2.3环境说明运营商线路连接防火墙外网出接口(E0/0)地址:200.0.0.135/24，内网接口(E0/1)地址:192.168.10.1/24连接PC，测试PC地址为192.168.10.10/32。2.3配置步骤（1）外网接口配置SG-6000(config)#interfacee0/0SG-6000(config-if-eth0/0)#zoneuntrustSG-6

目录一、入侵检测系统二、防火墙三、防水墙　　四、tcpdump抓包五、实验演示　　1.SNAT               一、入侵检测系统　　特点：是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，　　　　主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类似于监控系统 二、防火墙　　1.特点：隔离功能，工作在网络或主机边缘　　　　　　对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，　　　　　　基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在网络中。 　　2.防火墙分

一、WAF1.WAF是什么个人理解WAF是一个应用级别的防护软件，主要是针对HTTP/HTTPS的防护，网站应用级别的防护，通过一系列的黑白名单等操作对于诸如SQL注入，XSS，CSRF等攻击进行防护2.WAF的功能2.1审计1.审计的作用是对网站人员的操作登录等进行记录2.对于安全策略的增加和修改3.对于用户的属性和权限进行修改和操作2.2访问控制设备分为主动控制和被动控制2.3Web应用加固针对有弱点的Web的应用进行安全策略的加固等操作，比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看，WAF是一种防火墙的功能模块;还有人把WAF看作"深度检测

今日经历过一次Windows系统的EC2因调试时把防火墙先关闭，后又开启，造成RDP连接中断，再想连接已经彻底连接不上了。因为是生产环境的EC2，无法连接也就无法维护，当时也是吓的一脑门汗，但静下心来找找资料，还是有解决方案的，网上和AWS自带的讲解都不够细致，还是以自己亲身经历来讲解一下，特别是其中遇到几个坎，也帮大家避过。因为我接触AWS云时间不长，习惯用传统的运维方式来对比，其实最好的解决方案用传统方式来形象概括说明就是：1、把故障机的系统硬盘卸下来，挂载到一台新的Windows服务器上作为从盘2、启动新的服务器，执行注册表管理，找到从盘里故障机系统盘里的注册表文件，导入到新服务器注册表

 目录1、登录防火墙2、防火墙的策略3、防火墙的NAT策略以及服务器端口映射 1、登录防火墙模拟器防火墙默认用户为：admin默认密码为：Admin@123登录成功后需要更改默认密码，包含大小写数字以及特殊字符防火墙默认它的G0/0/0口为管理口，而在模拟器中若要进入防火墙的web界面，需要额外配置intg0/0/0server-manageallpermit再添加一个Cloud模块，进行配置，需注意不能绑定物理网卡，使用虚拟网卡即可再进入防火墙管理口，将其ip地址配置在绑定的网卡的ip地址范围 打开浏览器，输入管理口ip地址，让后进行登录 2、防火墙的策略在web界面中，找到  策略----

systemctlstatusfirewalld        --查看防火墙状态。systemctlstopfirewalld      --临时关闭防火墙命令。重启电脑后，防火墙自动起来。systemctldisablefirewalld       --永久关闭防火墙命令。重启后，防火墙不会自动启动。systemctlenablefirewalld        --打开防火墙命令。查看某服务是否开启#firewall-cmd--query-serviceftp#firewall-cmd--query-servicessh开启关闭服务端口暂时开放ftp服務#firewall-cmd--a

这里写目录标题实验拓扑实验需求配置过程1.配置ip地址（略）2.配置去往公网的默认路由3.将端口绑定在信任域和不信任域4.配置ipv4安全模板5.配置ospf将内网的连通性完成6.配置nat（easyip的方式）使内网PC可以访问外网测试实验拓扑实验需求1.根据题目要求配置IP地址，用路由器R2的环回地址模拟PC地址2.防火墙端口绑定安全域，配置安全策略，local/trust/untrust域可互通3.内网做ospf，保证内网的连通性4.配置NAT使内网可访问internet配置过程1.配置ip地址（略）2.配置去往公网的默认路由[fw]iproute-static0.0.0.003.3.3

pfSense是一个基于FreeBSD架构的软件防火墙，通常会被安装在多网卡的主板上作为路由器或者防火墙去使用。pfSense具有商业防火墙的大部分功能，管理上非常的简单，可以支持通过web进行配置和管理，pfSense部署在边缘网络上一般可以抵挡500Mbps的互联网流量。pfSense防火墙具有：包过滤功能、NAT模式部署、负载均衡，双机热备、VPN等重要功能，支持报告生成功能，还可以通过SNMP进行集中管理。在开源防火墙市场中，pfSense占有领先的地位。这里我们说一下家用系统为什么需要防火墙，对于灵活就业的软件开发者来说，在家办公，下载，搭建开发平台等，另外还有个人和家庭的照片等资料

华为防火墙综合案例实验拓扑实验要求如图所示，总计四个网络（成都总公司、绵阳分公司、Internet、出差在外员工所处的某酒店网络）IP地址已经规划完成成都总公司CE1交换机为三层交换机连接了两个vlan，内网客户端直接通过二层交换机连接出口防火墙绵阳分公司一个网络直接和出口防火墙连接Internet使用一台路由器进行模拟公网酒店就一个网络直接连接出口路由器上网需求成都总公司所有主机（包括服务器）访问Internet在FW1上做SNAT绵阳分公司主机访问Internet在FW2上做SNAT酒店主机访问Internet在AR2上做SNAT服务器发布需求成都总公司server1的HTTP服务发布到公