防火墙和系统安全防护和优化

防火墙

        所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。

        计算机防火墙是指在外部网络和用户计算机之间设置防火墙。计算机防火墙也可以是用户计算机的一部分。计算机防火墙检测接口规程、传输协议、目的地址及/或被传输的信息结构等，将不符合规定的进入信息剔除。计算机防火墙对用户计算机输出的信息进行检查，并加上相应协议层的标志，用以将信息传送到接收用户计算机（或网络）中去。

 

防火墙基本使用

 

1、firewalld的基本使用

 

启动： systemctl start firewalld

 

关闭： systemctl stop firewalld

 

查看状态： systemctl status firewalld 

 

开机禁用  ： systemctl disable firewalld

 

开机启用  ： systemctl enable firewalld

 

centos中对防火墙的优化

内核参数优化

vi /etc/sysctl.conf    #末尾添加如下参数  (备注：内核不够熟，加上注解大家谨慎选择使用)

net.ipv4.tcp_syncookies = 1           #1是开启SYN Cookies，当出现SYN 等待队列溢出时，启用Cookies来处理，可防范少量SYN攻击，默认是0关闭  net.ipv4.tcp_tw_reuse = 1             #1是开启重用，允许将TIME_AIT sockets重新用于新的TCP连接，默认是0关闭                                                       

net.ipv4.tcp_tw_recycle = 5            #TCP失败重传次数，默认是15，减 少次数可释放内核资源                                                                               

net.ipv4.tcp_max_syn_backlog = 10240    #进入SYN包的最大请求队列，默认 是1024                                                                                             

net.core.netdev_max_backlog =  10240  #允许送到队列的数据包最大设备队 列，默认300                                                                                        

net.core.somaxconn = 2048              #listen挂起请求的最大数量，默认 128                                                                                               

net.core.wmem_default = 8388608        #发送缓存区大小的缺省值                                                                                                           

net.core.rmem_default = 8388608        #接受套接字缓冲区大小的缺省值 （以字节为单位）                                                                                    

net.core.rmem_max = 16777216           #最大接收缓冲区大小的最大值                                                                                                       

net.core.wmem_max = 16777216           #发送缓冲区大小的最大值                                                                                                           

net.ipv4.tcp_synack_retries = 2        #SYN-ACK握手状态重试次数，默认5                                                                                                   

net.ipv4.tcp_syn_retries = 2           #向外SYN握手重试次数，默认4                                                                                                       

net.ipv4.tcp_max_orphans = 3276800     #系统中最多有多少个TCP套接字不 被关联到任何一个用户文件句柄上，如果超出这个数字，孤儿连接将立即复位并打印警告信息                 

net.ipv4.tcp_mem = 94500000 915000000 927000000   

#net.ipv4.tcp_mem[0]:低于此值，TCP没有内存压力；                                                                                                                          

#net.ipv4.tcp_mem[1]:在此值下，进入内存压力阶段；                                                                                                                         

#net.ipv4.tcp_mem[2]:高于此值，TCP拒绝分配socket。内存单位是页，可根据 物理内存大小进行调整，如果内存足够大的话，可适当往上调。上述内存单位是页，而不是字节。             

net.ipv4.ip_local_port_range = 20480  65535  #（表示用于向外连接的端口范围。缺省情况下很小：32768到61000  注意：这里不要将最低值设的太低，否则可能会占用掉正常的端口！ 

CentOS 系统优化    
      cp  /etc/profile  /etc/profilebak2
      vi /etc/profile      #在文件末尾添加以下内容
      ulimit -c unlimited
      ulimit -s unlimited
      ulimit -SHn 65535   
      source  /etc/profile    #使配置立即生效
      ulimit -a    #显示当前的各种用户进程限制