防火牆和網絡安全

防火牆是網絡安全的基本工具，linux的防火牆工具是iptables。linux防火牆是一種典型的博過濾防火牆，iptables使用各類規則來進行判斷。iptables最經常使用的5個選項，分別爲f、 p、 a、d、l。F參數清除鏈中所多規則，P參數爲 鏈設置一個默認的策略A參數爲鏈設置備註  D參數從鏈中刪除一條規則， L參數查看當前表中的鏈和規則。

sudo iptables -F清除全部的鏈

sudo iptables -L 查看當前表中的鏈和全部規則

sudo iptable -F INPUT 清除INPUT鏈中的規則，而不清除其餘鏈中的規則

ping localhost  能夠看到ping命令有不少包返回

sudo iptables -P INPUT DROP p參數將input鏈中全部信息所有丟棄

ping localhost 能夠看到ping命令沒有任何的返回，按ctrl+c終止

sudo iptables -P FORWARD DROP

sudo iptables -L

一般狀況下還須要外部主機能夠ping到web服務器，這樣當網站出現問題了，管理員能夠經過ping命令來肯定服務器是否正常運行

sudo iptables -A INPUT  -i eth0 -p icmp--icmp-type 8 -j ACCEPT 

i指定網絡接口

22端口默認爲提供ssh服務，80端口通常爲提供http服務，ssh和http都是基於tcp協議的，工做在傳輸層。icmp有類型沒有端口，工做在網絡層

sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT 

將22端口設置爲開放

sudo iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT 

將80端口設置爲開放

sudo iptables -A INPUT -i eth0 -s 10.67.74.0/24 -p tcp --dport 22 -j ACCEPT

指定ip地址開放22端口

一般狀況下 管理員要作的不是將誰擋在門外，還要知道哪些人試圖在訪問web服務器，以下：

sudo iptables -A INPUT -i eth0 -j LOG

這樣會開放防火牆的日誌功能

cat  /var/log/messages

sudo iptables -D INPUT -i lo -p ALL -j ACCEPT 刪除某條鏈規則

這麼多規則，腫麼記得住，用如下命令來顯示當前鏈規則的編號：

sudo  iptables -L --line-numbers

sudo iptables -D 8

對於網絡黑客，使用適當的工具就能夠成爲黑客，黑客進行網絡攻擊時候會使用網絡端口掃描工具。

nmap -sT 127.0.0.1

若是對INPUT鏈作了規則，ping命令沒法返回包了，則使用如下的命令

nmap -sT -PN 127.0.0.1

使用某些參數，來限制掃描的範圍：

nmap -sT -PN -p1-5000 127.0.0.1

漏洞掃描工具：linux中並無默認安裝該工具，可是在原服務器中提供了該工具

sudo apt -get install nessus

設置用戶名和密碼

...

完成工具的添加

sudo nessusd                  ALL plugins loaded