防火墙和系统安全防护和优化

防火墙是什么？

防火墙指的是一个由 软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

防火墙的功能：

• 入侵检测功能

         网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。

• 网络地址转换功能

        利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。

• 网络操作的审计监控功能

        通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。强化网络安全服务 防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

防火墙的分类：

•   Netfilter 的数据包过滤机制   

         Netfilter 这个机制主要就是分析进入主机的数据包，也就是將包的报头信息提取出来进行分析，以決定该链接是应该放行或阻挡下来。    由于这种方式可以直接分析数据报头的信息，而报头的信息主要就是 OSI 参考模型中的数据链路层，网络层，以及传输层的信息，如 MAC 地址, IP 地址 , TCP, UDP, ICMP 等的信息都可以进行分析过滤，并且 Netfilter 提供了 iptables 来作为防火墙封包过滤的指令。

•  TCP Wrappers 的程序管理   

         TCP Wrappers 主要是分析TCP的报头信息，并与/etc/hosts.allow和/etc/hosts.deny中的规则进行匹配，从而决定哪些主机可以访问系统服务或资源。他的功能并没有 Netfilter 那么强大，但是他的配置相对于 Netfilter 的 iptables 要简单许多。

• Proxy 的代理服务器   

      相对于 Netfilter 是更安全一些。

Ubuntu开启防火墙

sudo ufw enablesudo ufw status      查看开启防火墙后的状态,为active说明防火墙开启成功

Ubuntu关闭防火墙

sudo ufw disablesudo ufw status      查看开启防火墙后的状态,为inactive说明防火墙关闭成功

 Ubuntu中其他常用的防火墙命令

ufw default allow/deny:外来访问默认允许/拒绝
ufw allow/deny 20：允许/拒绝 访问20端口,20后可跟/tcp或/udp，表示tcp或udp封包。
ufw allow/deny servicename:ufw从/etc/services中找到对应service的端口，进行过滤。
ufw allow proto tcp from 10.0.1.0/10 to 本机ip port 25:允许自10.0.1.0/10的tcp封包访问本机的25端口。
ufw delete allow/deny 20:删除以前定义的"允许/拒绝访问20端口"的规则

 系统优化

 定期进行硬盘维护

 保证虚拟内存

 加载系统补丁

 维护注册表

 备份注册表

 清理没用的dll文件

 使用优化软件优化系统