《精编 第十七课Linux服务器安全之服务器监控 第十六课linux服务器安全之防火墙iptablesppt课件.ppt》由会员分享,可在线阅读,更多相关《精编 第十七课Linux服务器安全之服务器监控 第十六课linux服务器安全之防火墙iptablesppt课件.ppt(22页珍藏版)》请在三一办公上搜索。
1、本章知识点,了解什么是防火墙了解常见的防火墙类型掌握iptables安全配置,一. 防火墙基本概念,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成.,二.防火墙分类,软件防火墙硬件防火墙防火墙技术:包过滤,应用代理型位置:边界防火墙,个人防火墙,混合防火墙性能:百兆级防火墙和千
2、兆级防火墙http:/,三.常见的防火墙硬件,Cisco公司的PIX系列Juniper的NetscreenH3C 的Secpath,三.常见的软件防火墙,Iptablesipfw,四.Iptables 详解,五.Iptables 包的处理方式,Iptables A INPUT p imcp j Drop(丢弃) ACCPET(接受) REJECT(弹回) LOG(日志)IPTABLES t 表明分三类nat filteter(默认) mangle(服务质量等),五. 基本命令,Iptables-A 增加一个规则-D 删除规则-R 替换(指定行上替换)-I 插入-L 显示所有规则-F 删除所有规
3、则-P 默认策略-line-numbers显示行号,五.基本命令,-p 指定使用的协议 !号排除-src 源IP地址-dst 目的地址-in-interface 选择网卡-fragment 数据包分段-sport 源端口-dport 目的端口-state 状态(RELATED,ESTABLISHED),六.例子(基本配置),防止pingIptables A INPUT p imcp j DROP限制某个端口 iptables A INPUT p tcp d 192.168.0.11 dport 21 j DROP修改默认过滤规则(默认是ACCEPT,我们全部修改成DROP) 注意:修改默认过滤
4、规则的时候一定要先把远程ssh打开Iptables A INPUT p tcp d 192.168.0.11 dport 22 j ACCEPTIptables A OUTPUT p tcp s 192.168.0.11 sport 22 j ACCEPTIptables P INPUT DROPIptables P OUTPUT DROPIptables P FORWARD DROP开启80端口开启53端口Iptables-save /etc/sysconfig/iptables,六.例子,打开本地回环设备INOUT上面的例子不能对外发送ssh请求,我们让他可以连接外部ssh,七:例子(高级
5、状态匹配),SSH的高级应用防止本地向外部发送连接请求,只允许已经连接连接的才能发送数据包.Iptables A OUTPUT p tcp sport 22 m state -state ESTABLISHED记录日志(先记录后接受)Iptables A INPUT p tcp dport 22 j LOG log-level 5 -log-prefix “SSH Iptables:” /etc/syslog.confKern.=notice/firewall/iptables.log,七:例子NAT,NAT(网络地址转换协议)两种技术SNAT和DNATSNAT修改源IP使用POSTROUTI
6、NG 出去的包DNAT修改目的IP使用PREROUTING 进入的包iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT -to 1.2.3.4 http:/iptables-,本章知识点,了解什么是服务器监控为什么要用服务器监控掌握ngaios配置,一. 服务器监控基本概念,就是对服务器的运行状态机制的检测.例如各个端口的开放状态,服务器的存活状态等等管理数千台分布式服务器,二.服务器监控程序,Nagios可以对服务器进行全面的监控,包括服务(apache、mysql、ntp、dns、disk、qmail和sshd等等)的状态,服务
7、器的状态(up、down等等)。它是一个完全GPL协议的开源软件包,包含有nagios主程序和它的各个插件,配置非常灵活,可以监视的项目很多,可以自定义shell脚本进行监控服务,非常适合大型网络。,三.Nagios基本组成,被动监控是当远程被监控主机处于防火墙之内的时候,只有远程主机可以访问到监控中心,防火墙之内可以设置另外一个监控中心,远程监控中心的nagios收集服务器信息以后,和nsca报告,由naca客户端报告naca的服务器端,然后报告监控中心的nagios,通过web接口显示监控结果。,四.安装单台nagios,http:/www.nagios.org/download1)nag
8、ios,版本3.0.7:2)获得nagios插件,版本1.4.3:3)获得图库文件gd库:,四.安装nagios,yum install httpdyum install gccyum install glibc glibc-commonyum install gd gd-develyum install mysql mysql-server mysql-develyum install gnutls,四.安装nagios,/usr/sbin/useradd nagiospasswd nagios/usr/sbin/groupadd nagcmd/usr/sbin/usermod -G nag
9、cmd nagios/usr/sbin/usermod -G nagcmd apache Tar xvzf nagios.*./configure -with-command-group=nagcmdmake allmake installmake install-initmake install-configmake install-commandmode,五. 配置,vi /usr/local/nagios/etc/objects/contacts.cfg 修改Email安装web接口make install-webconf htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin 编译并安装Nagios插件 ./configure -with-nagios-user=nagios -with-nagios-group=nagios -with-mysql=/usr -enable-perl-modules -with-gnutls=路径-enable-perl-modules -enable-extra-opts makemake install,配置,监控linuxhttp:/,
