精编-第十七课Linux服务器安全之服务器监控-第十六课linux服务器安全之防火墙iptables课件

本章知识点了解什么是防火墙了解常见的防火墙类型掌握iptables安全配置本章知识点了解什么是防火墙一.防火墙基本概念所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成.

一.防火墙基本概念所谓防火墙指的是一个由软件和硬件设备组合二.防火墙分类软件防火墙硬件防火墙防火墙技术:包过滤,应用代理型位置：边界防火墙,个人防火墙,混合防火墙性能:百兆级防火墙和千兆级防火墙/CWORD/478.SHTML二.防火墙分类软件防火墙硬件防火墙三.常见的防火墙硬件Cisco公司的PIX系列Juniper的NetscreenH3C的Secpath三.常见的防火墙硬件Cisco公司的PIX系列三.常见的软件防火墙Iptablesipfw三.常见的软件防火墙Iptables四.Iptables详解

四.Iptables详解五.Iptables包的处理方式Iptables–AINPUT–pimcp–jDrop(丢弃)

ACCPET(接受)

REJECT(弹回)LOG(日志)IPTABLES–t表明分三类natfilteter(默认)mangle(服务质量等)五.Iptables包的处理方式Iptables–AI五.基本命令Iptables-A增加一个规则-D删除规则-R替换(指定行上替换)-I插入-L显示所有规则-F删除所有规则-P默认策略--line-numbers显示行号五.基本命令Iptables五.基本命令-p指定使用的协议！号排除--src源IP地址--dst目的地址--in-interface选择网卡--fragment数据包分段--sport源端口--dport目的端口--state状态(RELATED,ESTABLISHED)五.基本命令-p指定使用的协议！号排除六.例子(基本配置)防止pingIptables–AINPUT–pimcp–jDROP限制某个端口

iptables–AINPUT–ptcp–d1–dport21–jDROP修改默认过滤规则(默认是ACCEPT,我们全部修改成DROP)

注意:修改默认过滤规则的时候一定要先把远程ssh打开Iptables–AINPUT–ptcp–d1–dport22–jACCEPTIptables–AOUTPUT–ptcp–s1–sport22–jACCEPTIptables–PINPUTDROPIptables–POUTPUTDROPIptables–PFORWARDDROP开启80端口开启53端口Iptables-save>/etc/sysconfig/iptables六.例子(基本配置)防止ping六.例子打开本地回环设备^IN^OUT上面的例子不能对外发送ssh请求,我们让他可以连接外部ssh六.例子打开本地回环设备^IN^OUT七:例子(高级状态匹配)SSH的高级应用防止本地向外部发送连接请求,只允许已经连接连接的才能发送数据包.Iptables–AOUTPUT–ptcp–sport22–mstate--stateESTABLISHED记录日志(先记录后接受)Iptables–AINPUT–ptcp–dport22–jLOG–log-level5--log-prefix“SSHIptables:”/etc/syslog.confKern.=notice /firewall/iptables.log七:例子(高级状态匹配)SSH的高级应用防止本地向外部发送连七:例子NATNAT(网络地址转换协议)两种技术SNAT和DNATSNAT修改源IP使用POSTROUTING出去的包DNAT修改目的IP使用PREROUTING进入的包iptables-tnat-APOSTROUTING-s/24-jSNAT--to/cn/iptables-tutorial-cn-1.1.19.html七:例子NATNAT(网络地址转换协议)本章知识点了解什么是服务器监控为什么要用服务器监控掌握ngaios配置本章知识点了解什么是服务器监控一.服务器监控基本概念就是对服务器的运行状态机制的检测.例如各个端口的开放状态,服务器的存活状态等等管理数千台分布式服务器一.服务器监控基本概念就是对服务器的运行状态机制的检测.二.服务器监控程序Nagios可以对服务器进行全面的监控，包括服务（apache、mysql、ntp、dns、disk、qmail和sshd等等）的状态，服务器的状态（up、down等等）。它是一个完全GPL协议的开源软件包，包含有nagios主程序和它的各个插件，配置非常灵活，可以监视的项目很多，可以自定义shell脚本进行监控服务，非常适合大型网络。二.服务器监控程序Nagios可以对服务器进行全面的监控，包三.Nagios基本组成被动监控是当远程被监控主机处于防火墙之内的时候，只有远程主机可以访问到监控中心，防火墙之内可以设置另外一个监控中心，远程监控中心的nagios收集服务器信息以后，和nsca报告，由naca客户端报告naca的服务器端，然后报告监控中心的nagios，通过web接口显示监控结果。三.Nagios基本组成被动监控是当远程被监控主机处于防火墙四.安装单台nagios/download1）nagios，版本3.0.7：

2）获得nagios插件，版本1.4.3：

3）获得图库文件gd库：四.安装单台nagioshttp://www.nagios.四.安装nagiosyuminstallhttpd

yuminstallgcc

yuminstallglibcglibc-common

yuminstallgdgd-develyuminstallmysqlmysql-servermysql-develyuminstallgnutls

四.安装nagiosyuminstallhttpd

yu四.安装nagios/usr/sbin/useraddnagiospasswdnagios/usr/sbin/groupaddnagcmd

/usr/sbin/usermod-Gnagcmdnagios

/usr/sbin/usermod-GnagcmdapacheTarxvzfnagios.*./configure--with-command-group=nagcmdmakeallmakeinstall

makeinstall-init

makeinstall-config

makeinstall-commandmode

四.安装nagios/usr/sbin/useraddna五.配置vi/usr/local/nagios/etc/objects/contacts.cfg修改Email安装web接口makeinstall-webconfhtpasswd-c/usr/local/nagios/etc/htpasswd.usersnagiosadmin编译并安装Nagios插件./configure--with-nagios-user=nagios--with-nagios-group=nagios--with-