防火墙和系统安全防护

参考文档https://blog.youkuaiyun.com/u010081690/article/details/52690267
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。
安全防范系统（security & protection system，SPS） 以维护社会公共安全为目的，运用安全防范产品和其它相关产品所构成的入侵报警系统、视频安防监控系统、出入口控制系统、防爆安全检查系统等；或由这些系统为子系统组合或集成的电子系统或网络。
一个完整的安全防范系统应具备以下功能：
图像监控功能
（1）视像监控 采用各类摄像机、切换控制主机、多屏幕显示、模拟或数字记录装置、照明装置，对内 部与外界进行有效的监控，监控部位包括要害部门、重要设施和公共活动场所。
（2）影像验证 在出现报警时，显示器上显示出报警现场的实况，以便直观地确认报警，并作出有效的报警处理。
（3）图像识别系统 在读卡机读卡或以人体生物特征作凭证识别时，可调出所存储的员工相片加以确认，并通过图像扫描比对鉴定来访者。
探测报警功能
（1）内部防卫探测 所配置的传感器包括双鉴移动探测器、被动红外探测器、玻璃破碎探测器、声音探测器、光纤回路、门接触点及门锁状态指示等。
（2）周界防卫探测 精选拾音电缆、光纤、惯性传感器、地下电缆、电容型感应器、微波和主动红外探测器等探测技术，对围墙、高墙及无人区域进行保安探测。
（3）危急情况监控 工作人员可通过按动紧急报警按钮或在读卡机输入特定的序列密码发出警报。通过内部通信系统和闭路电视系统的连动控制，将会自动地在发生报警时产生声响或打出电话，显示和记录报警图像。
（4）图形鉴定 监视控制中心自动地显示出楼层平面图上处于报警状态的信息点，使值班操作员及时获知报警信息，并迅速、有效、正确地进行接警处理。
控制功能
（1）对于图像系统的控制，最主要的是图像切换显示控制和操作控制，控制系统 结构有：中央控制设备对摄像前端一一对应的直接控制 中央控制设备通过解码器完成的集中控制
新型分布式控制
（2）识别控制
a.门禁控制 可通过使用IC卡、感应卡、威根卡、磁性卡等类卡片对出入口进行有效的控制。除卡片之外还可采用密码和人体生物特征。对出入事件能自动登录存储。
b.车辆出入控制 采用停车场监控与收费管理系统，对出入停车场的车辆通过出入口栅栏和防撞挡板进行控制。
c.专用电梯出入控制 安装在电梯外的读卡机限定只有具备一定身份者方可进入，而安装在电梯内部的装置，则限定只有授权者方可抵达指定的楼层。
（3）响应报警的连动控制 这种连动逻辑控制，可设定在发生紧急事故时关闭保库、控制室、主门等键出入口，提供完备的保安控制功能。

一、服务器操作建议
严格按照目录规范操作服务器
远程服务器不允许关机
不要在服务器访问高峰运行高负载命令
远程配置防火墙时，不要把自己踢出服务器
技术策略

二、Linux优化步骤
禁用不必要的服务ntsysv
iptables 防火墙服务
network 网络服务
sshd ssh远程管理服务—>加密 telent—>明文
syslog 系统日志服务
crond 系统计划任务服务
xinetd 系统超级守护进程服务
关闭多余的控制台及禁止ctrl+alt+del
修改/etc/inittab文件注释掉多余的控制台，保留2个就可以
防止资源浪费
#3:2345:respawn:/sbin/mingetty tty3
禁止ctrl+alt+del快捷键
防止误操作强制关机
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
网络优化
禁止ping
多台ping服务器会ping崩溃服务器（老服务器）
防止黑客攻击途径
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
禁止源路由包（防止源欺骗）
拦截请求，假装发出包与服务器进行交互
echo 1 > /proc/sys/net/ipv4/conf/*/accept_source_route
打开SYN cookie选项，禁止SYN攻击
SYN包攻击。tcp的三次握手。客户端请求----》服务器一直等待。浪费资源，多台容易崩溃
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
上述三种仅在重启之间生效，需写成脚本，开机自动调用
定时升级Linux系统
yum -y update
严格的安全策略
密码合理并定期跟换密码三原则：
复杂性、易记忆性、时效性
合理分配权限
使用ssh远程管理
保证/etc/shadow的安全
存储linux所有账号和密码
定期备份重要数据和日志
三 John暴力破解工具
下载http://www.openwall.com/john/
下载字典
安装步骤
安装gcc yum -y install gcc
解压 tar -zxvf john-1.7.9.tar.gz
cd 解压目录/src/
make
make clean linux-x86-mmx
使用
cp /etc/shadow /root
chmod 777 /root/shadow
John解压目录/run/john /root/shadow
查看
run/john --show /etc/shadow
cat run/john.pot
数据库防护

1. 密码加盐处理
   md5加密
2. 越权处理
   角色选择时进行session与用户组校验
   3.将攻击记录到数据库
   sql 注入 漏洞
   修复注入点----》参数_id 存在注入
   漏洞分析
   利用 SQL 注入漏洞从数据库中获取敏感数据、修改数据库数据。
   整改 建议
   对用户输入的数据进行全面安全检查或过滤，尤其注意检查
   是否包含 HTML 特殊字符。这些检查或过滤必须在服务器端完
   成，建议过滤的常见危险字符如下：
   Ø |（竖线符号）
   Ø & （& 符号）
   Ø ;（分号）
   Ø $（美元符号）
   Ø %（百分比符号）
   Ø @（at 符号）
   Ø '（单引号）
   Ø "（引号）
   Ø '（反斜杠转义单引号）
   Ø "（反斜杠转义引号）
   Ø <>（尖括号）
   Ø ()（括号）
   Ø +（加号）
   Ø CR（回车符，ASCII 0x0d）
   Ø LF（换行，ASCII 0x0a）
   Ø ,（逗号）
   Ø \（反斜杠）
   越权漏洞
   修改相关参数，普通用户可获得更多的权限。
   抓包并修改参数实现权限更改
   整 改 建议
   严格控制用户权限。对敏感页面的权限进行严格的处理。
   越权漏洞
   用户在不登录的情况下，可越权访问网站页面数据
   越权的页面（其他页面也产生越权）
   http://****:7002/autocrud/exp.EXP3050.exp_employ
   ee_s_query/query?pagesize=30&pagenum=1&_fetchall=false
   &_autoco
   数据传输进行加密