精编-第十七课Linux服务器安全之服务器监控-第十六课linux服务器安全之防火墙iptablesppt课件

本章知识点 n了解什么是防火墙n了解常见的防火墙类型n掌握iptables安全配置一.防火墙基本概念n所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成.二.防火墙分类n软件防火墙硬件防火墙n防火墙技术:包过滤,应用代理型n位置：边界防火墙,个人防火墙,混合防火墙n性能:百兆级防火墙和千兆级防火墙nhttp:/ 的Secpath三三.常见的软件防火墙常见的软件防火墙nIptablesnipfw四四.Iptables 详解详解 五.Iptables 包的处理方式nIptables A INPUT p imcp j Drop(丢弃)ACCPET(接受)REJECT(弹回)LOG(日志)IPTABLES t 表明分三类nat filteter(默认)mangle(服务质量等)五.基本命令nIptablesn-A 增加一个规则n-D 删除规则n-R 替换(指定行上替换)n-I 插入n-L 显示所有规则n-F 删除所有规则n-P 默认策略n-line-numbers显示行号五.基本命令-p 指定使用的协议！号排除-src 源IP地址-dst 目的地址-in-interface 选择网卡-fragment 数据包分段-sport 源端口-dport 目的端口-state 状态(RELATED,ESTABLISHED)六.例子(基本配置)n防止pingIptables A INPUT p imcp j DROPn限制某个端口 iptables A INPUT p tcp d 192.168.0.11 dport 21 j DROPn修改默认过滤规则(默认是ACCEPT,我们全部修改成DROP)注意:修改默认过滤规则的时候一定要先把远程ssh打开Iptables A INPUT p tcp d 192.168.0.11 dport 22 j ACCEPTIptables A OUTPUT p tcp s 192.168.0.11 sport 22 j ACCEPTIptables P INPUT DROPIptables P OUTPUT DROPIptables P FORWARD DROP开启80端口开启53端口Iptables-save /etc/sysconfig/iptables六.例子n打开本地回环设备INOUTn上面的例子不能对外发送ssh请求,我们让他可以连接外部ssh七:例子(高级状态匹配)nSSH的高级应用防止本地向外部发送连接请求,只允许已经连接连接的才能发送数据包.nIptables A OUTPUT p tcp sport 22 m state-state ESTABLISHEDn记录日志(先记录后接受)nIptables A INPUT p tcp dport 22 j LOG log-level 5 -log-prefix“SSH Iptables:”/etc/syslog.confKern.=notice/firewall/iptables.log七:例子NATnNAT(网络地址转换协议)n两种技术SNAT和DNATnSNAT修改源IP使用POSTROUTING 出去的包nDNAT修改目的IP使用PREROUTING 进入的包niptables-t nat-A POSTROUTING-s 192.168.1.0/24-j SNAT-to 1.2.3.4 nhttp:/iptables- 本章知识点 n了解什么是服务器监控n为什么要用服务器监控n掌握ngaios配置一.服务器监控基本概念n就是对服务器的运行状态机制的检测.n例如各个端口的开放状态,服务器的存活状态等等n管理数千台分布式服务器二.服务器监控程序nNagios可以对服务器进行全面的监控，包括服务（apache、mysql、ntp、dns、disk、qmail和sshd等等）的状态，服务器的状态（up、down等等）。n它是一个完全GPL协议的开源软件包，包含有nagios主程序和它的各个插件，配置非常灵活，可以监视的项目很多，可以自定义shell脚n本进行监控服务，非常适合大型网络。三.Nagios基本组成n被动监控是当远程被监控主机处于防火墙之内的时候，只有远程主机可以访问到监控中心，防火墙之内可以设置另外一个监控中心，远程监控中心的nagios收集服务器信息以后，和nsca报告，由naca客户端报告naca的服务器端，然后报告监控中心的nagios，通过web接口显示监控结果。四四.安装单台安装单台nagiosnhttp:/www.nagios.org/downloadn1）nagios，版本3.0.7：2）获得nagios插件，版本1.4.3：3）获得图库文件gd库：四四.安装安装nagiosnyum install httpdyum install gccyum install glibc glibc-commonyum install gd gd-develnyum install mysql mysql-server mysql-develnyum install gnutls 四.安装nagios/usr/sbin/useradd nagiospasswd nagios/usr/sbin/groupadd nagcmd/usr/sbin/usermod-G nagcmd nagios/usr/sbin/usermod-G nagcmd apache Tar xvzf nagios.*./configure-with-command-group=nagcmdmake allmake installmake install-initmake install-configmake install-commandmode 五.配置nvi/usr/local/nagios/etc/objects/contacts.cfg 修改Emailn安装web接口nmake install-webconf nhtpasswd-c/usr/local/nagios/etc/htpasswd.users nagiosadmin n编译并安装Nagios插件 n./configure-with-nagios-user=nagios-with-nagios-group=nagios-with-mysql=/usr-enable-perl-modules -with-gnutls=路径-enable-perl-modules-enable-extra-opts nmakemake install 配置监控linuxhttp:/