用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号
与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用
户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制
用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制
用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制
用户账号与口令安全包括:口令策略账号策略管理员?账号
控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账
号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?
账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员
?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理
员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策略
管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号策
略管理员?账号控制用户账号与口令安全包括:口令策略账号策略管理员?账号控制用户账号与口令安全包括:口令策略账号
策略管理员?账号控制weblogic安全基线标准服务器日志:操作方法:点击domain>服务器>服务器名test
>日志记录>服务器,设置服务器文件名、Stdout严重程度阈值、日志滚动类型、最小文件大小等参数weblogic安全基线
标准访问日志:操作方法:点击domain>配置>日志记录,并设置HTTP日志文件名、格式、日志缓冲区大小、日志滚动类型
、最大日志文件大小等参数Weblogic安全基线标准Apache安全基线标准Tomcat安全基线标准内容概要apache
安全基线标准apache安全基线标准apache安全基线标准apache安全基线标准apache安全基线标准禁止目录遍历
apache安全基线标准apache安全基线标准apache安全基线标准apache安全基线标准Weblogic安全基线
标准Apache安全基线标准Tomcat安全基线标准内容概要tomcat安全基线标准tomcat安全基线标准tomca
t安全基线标准tomcat安全基线标准tomcat安全基线标准tomcat安全基线标准tomcat安全基线标准谢谢!
iptables实例iptables实例禁止客户机访问不健康网站【例1】添加i
ptables规则禁止用户访问域名为www.sexy.com的网站。iptables-IFORWARD-dwww.se
xy.com-jDROP【例2】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站。iptab
les-IFORWARD-d20.20.20.20-jDROP禁止某些客户机上网禁止某些客户机上网【例1】添
加iptables规则禁止IP地址为192.168.1.X的客户机上网。iptables-IFORWARD-s192.
168.1.X-jDROP【例2】添加iptables规则禁止192.168.1.0子网里所有的客户机上网。iptab
les-IFORWARD-s192.168.1.0/24-jDROP禁止客户机访问某些服务禁止客户机访问某些服务
【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载。iptables-IFORWARD-s19
2.168.1.0/24-ptcp–dport21-jDROP【例2】禁止192.168.1.0子网里所有的客户机
使用Telnet协议连接远程计算机。iptables-IFORWARD-s192.168.1.0/24-ptcp
–dport23-jDROP强制访问指定的站点强制访问指定的站点【例】强制所有的客户机访问192.168.1.x这
台Web服务器。iptables-tnat-IPREROUTING-ieth0-ptcp–dport80
-jDNAT–to-destination192.168.1.x:80Iptablies防火墙介绍Tcpwrappe
r介绍Windows防火墙介绍内容概要Tcpwarpper介绍Tcp_wrapper是WietseVenema开发的一
个免费软件。Tcp_wrapper的诞生有个小小的故事,大约1990年,作者所在大学的服务器屡屡受到一个外来黑客侵入,因为受害主机
的硬盘数据屡次被rm-rf/命令整个抹掉,所以找寻线索极为困难,直到有一天晚上作者在工作的过程中无意中发现这个黑客在不断的fin
ger?受害主机、偷窥受害者的工作。于是,一个想法诞生了:设计一个软件,使它可以截获发起finger请求的IP,用户名等资料。Ve
nema很快投入了工作,而Tcp_wrapper也由此诞生!此后,Tcp_wrapper随着广泛的应用逐渐成为一种标准的安全工具。
通过它,管理员实现了对inetd提供的各种服务进行监控和过滤。Tcp_wrapper编译安装成功后,会生成一个tcpd程序,它可
以在inetd.conf这个控制文件中取代in.telnetd的位置,这样,每当有telnet的连接请求时,tcpd即会截获请求,
先读取管理员所设置的访问控制文件,合乎要求,则会把这次连接原封不动的转给真正的in.telnetd程序,由in.telnetd完成
后续工作。如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供telnet服务。Tcpwarpper介
绍修改inetd.confinetd.conf的格式大概如下(以ftp为例)??????ftp????stream??tcp
?????nowait??root????/usr/etc/in.ftpd????in.ftpd????????^^1.????
^^^^^^^^^^^^^^^^^^^^2.?^^^3.???^^^^^^^^^^^^^^^4.????^^^^^5.如果使用t
cp?wrapper?的话,则要在"4."与"5."二处作改变。????????ftp???stream??tcp??nowai
t??root???/some/where/tcpd??/usr/etc/in.ftpd?????????????????
???????????????????????? ?^^^^^^^^^^^^^^^^4.?^^^^^^^^^^^
^^5. "4."改成tcpd所在的位置。??????? ?"5."改成daemon的位置与参数,即前面的"4."与"5."的
组合。Tcpwarpper介绍Tcpwarpper介绍下面再举telnet为例,假设tcp?wrapper?是装在/da
emon/tcpd:????????原本:????????telnet?stream??tcp??nowait??root??
?/usr/etc/in.telnetd????in.telnetd????????修改后:????????telnet?st
ream??tcp??nowait??root???/usr/local/sbin/tcpd???/usr/etc/in.teln
etd记得要重启ientdps–ef|grepinetdkill–HUPinetd_PIDTcpwarppe
r介绍配置hosts.allow及hosts.deny文件Tcpwrapper最至关重要的2个配置文件就是hosts.allo
w及hosts.deny文件hosts.allow配置允许访问信息,hosts.deny配置拒绝访问信息。通常情况下,可以在h
osts.allow文件中指定ALL:ALL:DENY,这样就不用配置hosts.deny文件里Tcpwarpper介绍
hosts.allow文件的内容格式 ALL:ALL:ALLOW ALL:ALL:DENY第一个ALL填入服务
,第二个ALL写入地址,第三个写入允许或者拒绝Tcpwarpper介绍telnet:192.168.0.0/255.25
5.0.0,127.0.0.1:ALLOWftp:192.168.1.0/255.255.255.0,127.0.0.1
:ALLOWALL:ALL:DENY如上,允许192.168.0.0/16网段使用telnet,192.168.1.0
/24网段使用ftp,其他的所有服务都拒绝Iptablies防火墙介绍Tcpwrapper介绍Windows防火墙介绍内
容概要配置Windows防火墙主要内容:Windows防火墙是如何工作的?Windows防火墙的设置防火墙策略规划
配置WindowsXP自带防火墙Windows防火墙是如何工作的?当Internet或网络上的某人尝试连接到
内部网络的本地计算机时,通常将这种尝试称为“未经请求的通信”,Windows防火墙会阻止这种通信。如果用户运行的程序(如即时消息
程序或多人网络游戏)需要从Internet或网络接收信息,那么防火墙会询问用户是阻止连接还是取消阻止(允许)连接。如果用户选择
取消阻止连接,Windows防火墙将创建一个“例外”,这样当该程序日后需要接收信息时,防火墙将允许这种连接。在Micro
softWindowsXPServicePack2(SP2)中,Windows防火墙在默认情况下处于启用状态,因此
本地用户将无法使用某些程序功能,除非该程序列于Windows防火墙中的“例外”选项卡中。Windows防火墙的设置
Windows防火墙有三种设置:“启用”、“启用并且无例外”和“关闭”。“启用”:Windows防火墙在默认情况下处于
启用状态,建议保留此设置不变。此时,Windows防火墙阻止所有到本地用户计算机的、未经请求的连接,但不包括与“例外”选项卡中程
序或服务的连接。Windows防火墙的设置“启用并且无例外”:当选中“不允许例外”复选框时,Windows防火墙会
阻止所有到本地用户计算机的未经请求的连接,包括那些对“例外”选项卡上选中的程序或服务发出的请求。当需要为计算机提供最大程度的保护时
(例如,当连接到旅馆或机场中的公用网络时,或者当危险的病毒或蠕虫正在Internet上扩散时),可以使用该设置。不必始终选择“
不允许例外”,因为,如果该选项始终处于选中状态,某些程序可能会无法正常工作。如果选中“不允许例外”,用户仍然可以收发电子邮件
、使用即时消息程序或查看大多数网页。Windows防火墙的设置“关闭”:此设置将关闭Windows防火墙。此时,
计算机更容易受到未知入侵者或Internet病毒的侵害。该设置只应由高级用户用于计算机管理目的,或者在计算机有其他防火墙保护的
情况下使用。防火墙策略规划本地计算机WindowsXP系统中的防火墙保持打开状态,且将下列软件或服务设为例外,以便于管
理和维护:UPnP框架(用于接受网络设备发送的即插即用消息)远程协助和远程桌面文件和打印机共享WindowsLiveM
essageWindowsNetmeeting配置WindowsXP自带防火墙1)“开始”——“设置”——“控制面板
”,双击“Windows防火墙”,弹出如图所示窗口,看到Windows防火墙已设置为“启用”状态;配置WindowsXP自带
防火墙2)单击“例外”标签,切换到如图所示例外选项页,勾选“文件和打印机共享”、“远程协助”、“远程桌面”、“UPnP框架”
、“WindowsLiveMessage”相关各项;配置WindowsXP自带防火墙3)单击“添加程序”按钮,弹出
如图所示窗口,列出系统中已安装的程序,由于在其中没有找到Netmeeting,因此单击“浏览”按钮,从C:\ProgrameFi
les\Netmeeting文件夹中找到WindowsNetmeeting的主程序conf.exe程序,单击“打开”;Web应
用安全配置策略二软防火墙配置策略一Weblogic安全基线标准Apache安全基线标准Tomcat安全基线标准内容概
要WebLogic是美国bea公司出品的一个applicationserver确切的说是一个基于Javaee
架构的中间件,BEAWebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务
器。将Java的动态功能和JavaEnterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。3、W
EBLogic中间件安全基线标准weblogic安全基线标准用户管理操作方法:点击domain>安全性>领域>
myrealm>用户,查看当前所有用户,删除多余的用户,并为用户设置复杂的密码weblogic安全基线标准组管理操
作方法:点击domain>安全性>领域>myrealm>用户,分别点击每一个用户,查看各自所属的组是否正确we
blogic安全基线标准密码长度策略操作方法:点击domain>安全性>领域>myrealm>身份验证提供程序
>DefaultAuthenticator>详细信息>最小密码长度,设置数值为8weblogic安全基线标准用户锁定
策略操作方法:点击domain>安全性>领域>myrealm>用户锁定,勾选已启用锁定,并设置锁定阈值,锁定持
续时间,锁定重置持续时间weblogic安全基线标准运行模式操作方法:点击domain>配置>常规,生产主机应该
勾选生产模式weblogic安全基线标准设置session超时时间 操作方法:在应用程序的web.xml中定义sessio
n超时时间,例如,以下设置表示session超时时间为20分钟>20weblogic安全基线标准访问权限控制 操作
方法: (1)对于window系统,应该只允许system和 administrator用户对weblogic文件夹有写权限
(2)对于unix类系统,应该只允许weblogic用户 对weblogic文件夹有写权限安全源自未雨绸缪诚信贵在风雨
同舟系统防火墙、Web应用安全配置策略2011-4-19Iptablies防火墙介绍Tcpwrapper介绍
Windows防火墙介绍内容概要Linux内核中有一个功能强大的联网子系统netfilter。netfilter子系统提
供了有状态的或无状态的分组过滤,还提供了NAT和IP伪装服务。netfilter还具备为高级选路和连接状态管理而变形(m
angle)IP头信息的能力。netfilter是通过IPTables工具来控制的。iptables组件是一种工具,也
称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。Iptables介绍启动IPTable
s服务:#service iptables start关闭IP6Tables服务才能使用IPTables服务:
#service ip6tables stop#chkconfig ip6tables off查看是否安装ipta
bles:#iptables--versionIptables介绍Iptables介绍框架图iptables传输数据包
的过程iptables传输数据包的过程①当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判
断是否需要转送出去。②如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都
会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。③如果数据包
是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出Ipt
ables介绍链和表表(table)filter:用于过滤的时候nat:用于做NAT的时候链(chain)INP
UT:位于filter表,匹配目的IP是本机的数据包OUTPUT:位于filter表,匹配源IP是本机
的数据包FORWARD:匹配穿过本机的数据包PREROUTING:位于nat表,用于修改目的地址(DNAT)P
OSTROUTING:位于nat表,用于修改源地址(SNAT)Iptables语法概述iptables[-t要操
作的表] <操作命令> [要操作的链] [规则号码] [匹配条件]
[-j匹配到以后的动作]命令概述操作命令(-A、-I、-D、-R、-P、-F)查看命令(-[vnx]L
)-A-A<链名>APPEND,追加一条规则(放到最后)iptables-tfilter-AINPUT-j
DROP 匹配所有访问本机IP的数据包,匹配到的丢弃-I-I<链名>[规则号码]INSERT,插入一条规则ipt
ables-IINPUT-jDROP在filter表的INPUT链里插入一条规则(插入成第1条)iptables-I
INPUT3-jDROP在filter表的INPUT链里插入一条规则(插入成第3条)注意:1、-tfilter可
不写,不写则自动默认是filter表;2、-I链名[规则号码],如果不写规则号码,则默认是1;3、确保规则号码≤(已有规则
数+1),否则报错。-D-D<链名><规则号码|具体规则内容>DELETE,删除一条规则iptables-DIN
PUT3(按号码匹配)删除filter表INPUT链中的第三条规则iptables-DINPUT-s192.168.
0.1-jDROP(按内容匹配)删除filter表INPUT链中内容为“-s192.168.0.1-jDROP”的规则
注意:1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条;2、按号码匹配删除时,确保规则号码≤已有规则数,否
则报错;3、按内容匹配删除时,确保规则存在,否则报错。-R-R<链名><规则号码><具体规则内容>REPLACE,
替换一条规则iptables-RINPUT3-jACCEPT将原来编号为3的规则内容替换为“-jACCEPT”注
意:确保规则号码≤已有规则数,否则报错-P-P<链名><动作>POLICY,设置某个链的默认规则iptables
-PINPUTDROP设置filter表INPUT链的默认规则是DROP注意:1、当数据包没有被规则列表里的任何规则匹
配到时,按此默认规则处理;2、动作前面不能加–j,这也是唯一一种匹配动作前面不加–j的情况。-F-F[链名]FLUS
H,清空规则iptables-FINPUT清空filter表INPUT链中的所有规则iptables-tnat-
FPREROUTING清空nat表PREROUTING链中的所有规则注意:1、-F仅仅是清空链中规则,并不影响-P设置
的默认规则;2、-P设置了DROP后,使用-F一定要小心;3、如果不写链名,默认清空某表里所有链里的所有规则。-[vxn
]L-L[链名]LIST,列出规则v:显示详细信息,包括每条规则的匹配包数量和匹配字节数x:在v的基础上,禁止自动单位
换算(K、M)n:只显示IP地址和端口号码,不显示域名和服务名称iptables-L粗略列出filter表所有链及所有
规则iptables-tnat-vnL用详细方式列出nat表所有链的所有规则,只显示IP地址和端口号iptables
-tnat-vxnLPREROUTING用详细方式列出nat表PREROUTING链的所有规则以及详细数字,不反解匹配
条件流入、流出接口(-i、-o)来源、目的地址(-s、-d)协议类型(-p)来源、目的端口(--sport、--dpor
t)按网络接口匹配-i<匹配数据进入的网络接口>-ieth0匹配是否从网络接口eth0进来-ippp0匹配是否
从网络接口ppp0进来-o匹配数据流出的网络接口例如:-oeth0-oppp0按源&目的地址匹配-s<匹配来
源地址>可以是IP、NET、DOMAIN,也可空(任何地址)-s192.168.0.1匹配来自192.168.0.1的数
据包-s192.168.1.0/24匹配来自192.168.1.0/24网络的数据包-d<匹配目的地址>可以是IP、
NET、DOMAIN,也可以空-d202.106.0.20匹配去往202.106.0.20的数据包-d202.106.
0.0/16匹配去往202.106.0.0/16网络的数据包-dwww.abc.com匹配去往域名www.abc.com
的数据包按协议类型匹配-p<匹配协议类型>可以是TCP、UDP、ICMP等,也可为空-ptcp-pudp-p
icmp--icmp-type类型ping: echo-request:8 echo-reply:0按源&目的
端口匹配--sport<匹配源端口>可以是个别端口,可以是端口范围--sport1000匹配源端口是1000的数据包
--sport:3000匹配源端口是3000以下的数据包(含3000)--sport1000:匹配源端口是1000
以上的数据包(含1000)--dport<匹配目的端口>可以是个别端口,可以是端口范围--dport6000:8000
匹配目的端口是6000-8000的数据包(含6000、8000)注意:--sport和--dport必须配合-p参数使
用匹配应用举例1、端口匹配-pudp--dport53匹配网络中目的端口是53的UDP协议数据包2、地址匹配
-s10.1.0.0/24-d172.17.0.0/16匹配来自10.1.0.0/24去往172.17.0.0/16的
所有数据包3、端口和地址联合匹配-s192.168.0.1-dwww.abc.com-ptcp--dport80
匹配来自192.168.0.1,去往www.abc.com的80端口的TCP协议数据包注意:1、--sport、--d
port必须联合-p使用,必须指明协议类型是什么2、条件写的越多,匹配越细致,匹配范围越小动作(处理方式)ACCEPT
DROPSNATDNATMASQUERADE-jACCEPT-jACCEPT通过,允许数据包通过本链而不拦截它
iptables-AINPUT-jACCEPT允许所有访问本机IP的数据包通过-jDROP-jDROP丢弃,阻
止数据包通过本链而丢弃它iptables-AFORWARD-s192.168.80.39-jDROP阻止来源地址
为192.168.80.39的数据包通过本机 -jDROPvs-jREJECT???-jSNAT-jSNA
T--toIP[-IP][:端口-端口](nat表的POSTROUTING链)源地址转换,SNAT支持转换为单IP,也
支持转换到IP地址池(一组连续的IP地址)iptables-tnat-APOSTROUTING-s192.168.0.0/24-jSNAT--to1.1.1.1将内网192.168.0.0/24的原地址修改为1.1.1.1,用于NATiptables-tnat-APOSTROUTING-s192.168.0.0/24-jSNAT--to1.1.1.1-1.1.1.10同上,只不过修改成一个地址池里的IP-jDNAT-jDNAT--toIP[-IP][:端口-端口](nat表的PREROUTING链)目的地址转换,DNAT支持转换为单IP,也支持转换到IP地址池(一组连续的IP地址)iptables-tnat-APREROUTING-ippp0-ptcp--dport80-jDNAT--to192.168.0.1把从ppp0进来的要访问TCP/80的数据包目的地址改为192.168.0.1iptables-tnat-APREROUTING-ippp0-ptcp--dport81-jDNAT--to192.168.0.2:80iptables-tnat-APREROUTING-ippp0-ptcp--dport80-jDNAT--to192.168.0.1-192.168.0.10MASQUERADE-jMASQUERADE动态源地址转换(动态IP的情况下使用)iptables-tnat-APOSTROUTING-s192.168.0.0/24-哦-jMASQUERADE将源地址是192.168.0.0/24的数据包进行地址伪装安全源自未雨绸缪诚信贵在风雨同舟 |
|
