centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。

FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。 以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。

相反,firewall daemon 动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。另外,firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。

守护进程通过 D-BUS 提供当前激活的防火墙设置信息,也通过 D-BUS 接受使用 PolicyKit 认证方式做的更改。

“守护进程”

应用程序、守护进程和用户可以通过 D-BUS 请求启用一个防火墙特性。特性可以是预定义的防火墙功能,如:服务、端口和协议的组合、端口/数据报转发、伪装、ICMP 拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。

通过所谓的直接接口,其他的服务(例如 libvirt )能够通过 iptables 变元(arguments)和参数(parameters)增加自己的规则。

amanda 、ftp 、samba 和 tftp 服务的 netfilter 防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而,跟踪连接信息很重要,需要列入考虑范围。

静态防火墙(system-config-firewall/lokkit)

使用 system-config-firewall 和 lokkit 的静态防火墙模型实际上仍然可用并将继续提供,但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。

在软件安装,初次启动或者是首次联网时,将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整,可以通过更换模式启用。

firewall daemon 独立于 system-config-firewall,但二者不能同时使用。

使用iptables和ip6tables的静态防火墙规则

如果你想使用自己的 iptables 和 ip6tables 静态防火墙规则, 那么请安装 iptables-services 并且禁用 firewalld ,启用 iptables 和ip6tables:

yum install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service

静态防火墙规则配置文件是 /etc/sysconfig/iptables 以及 /etc/sysconfig/ip6tables .

注: iptables 与 iptables-services 软件包不提供与服务配套使用的防火墙规则. 这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的. 你可以安装并使用 system-config-firewall 来创建上述服务需要的规则. 为了能使用 system-config-firewall, 你必须停止 firewalld.

为服务创建规则并停用 firewalld 后,就可以启用 iptables 与 ip6tables 服务了:

systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service

什么是区域?

网络区域定义了网络连接的可信等级。这是一个一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。

预定义的服务

服务是端口和/或协议入口的组合。备选内容包括 netfilter 助手模块以及 IPv4、IPv6地址。

端口和协议

定义了 tcp 或 udp 端口,端口可以是一个端口或者端口范围。

ICMP阻塞

可以选择 Internet 控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。

伪装
私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。

端口转发

端口可以映射到另一个端口以及/或者其他主机。

哪个区域可用?

由firewalld 提供的区域按照从不信任到信任的顺序排序。

丢弃

任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。

阻塞

任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。

公开

用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。(You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.)

外部

用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。

隔离区(dmz)

用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。

工作

用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

家庭

用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

内部

用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

受信任的

允许所有网络连接。

我应该选用哪个区域?

例如,公共的 WIFI 连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。

如何配置或者增加区域?

你可以使用任何一种 firewalld 配置工具来配置或者增加区域,以及修改配置。工具有例如 firewall-config 这样的图形界面工具, firewall-cmd 这样的命令行工具,以及D-BUS接口。或者你也可以在配置文件目录中创建或者拷贝区域文件。 @PREFIX@/lib/firewalld/zones 被用于默认和备用配置,/etc/firewalld/zones 被用于用户创建和自定义配置文件。

如何为网络连接设置或者修改区域

区域设置以 ZONE= 选项 存储在网络连接的ifcfg文件中。如果这个选项缺失或者为空,firewalld 将使用配置的默认区域。

如果这个连接受到 NetworkManager 控制,你也可以使用 nm-connection-editor 来修改区域。

由NetworkManager控制的网络连接

防火墙不能够通过 NetworkManager 显示的名称来配置网络连接,只能配置网络接口。因此在网络连接之前 NetworkManager 将配置文件所述连接对应的网络接口告诉 firewalld 。如果在配置文件中没有配置区域,接口将配置到 firewalld 的默认区域。如果网络连接使用了不止一个接口,所有的接口都会应用到 fiwewalld。接口名称的改变也将由 NetworkManager 控制并应用到firewalld。

为了简化,自此,网络连接将被用作与区域的关系。

如果一个接口断开了,NetworkManager也将告诉firewalld从区域中删除该接口。

当firewalld由systemd或者init脚本启动或者重启后,firewalld将通知NetworkManager把网络连接增加到区域。

由脚本控制的网络

对于由网络脚本控制的连接有一条限制:没有守护进程通知 firewalld 将连接增加到区域。这项工作仅在 ifcfg-post 脚本进行。因此,此后对网络连接的重命名将不能被应用到firewalld。同样,在连接活动时重启 firewalld 将导致与其失去关联。现在有意修复此情况。最简单的是将全部未配置连接加入默认区域。

区域定义了本区域中防火墙的特性:

使用firewalld

你可以通过图形界面工具 firewall-config 或者命令行客户端 firewall-cmd 启用或者关闭防火墙特性。

使用firewall-cmd

命令行工具 firewall-cmd 支持全部防火墙特性。对于状态和查询模式,命令只返回状态,没有其他输出。

一般应用

获取 firewalld 状态

firewall-cmd --state

此举返回 firewalld 的状态,没有任何输出。可以使用以下方式获得状态输出:

firewall-cmd --state && echo "Running" || echo "Not running"

在 Fedora 19 中, 状态输出比此前直观:

# rpm -qf $( which firewall-cmd )
firewalld-0.3.3-2.fc19.noarch# firewall-cmd --state
not running

在不改变状态的条件下重新加载防火墙:

firewall-cmd --reload

如果你使用–complete-reload,状态信息将会丢失。这个选项应当仅用于处理防火墙问题时,例如,状态信息和防火墙规则都正常,但是不能建立任何连接的情况。

获取支持的区域列表

firewall-cmd --get-zones

这条命令输出用空格分隔的列表。

获取所有支持的服务

firewall-cmd --get-services

这条命令输出用空格分隔的列表。

获取所有支持的ICMP类型

firewall-cmd --get-icmptypes

这条命令输出用空格分隔的列表。

列出全部启用的区域的特性

firewall-cmd --list-all-zones

输出格式是:


  interfaces:  ..
  services:  ..
  ports:  ..
  forward-ports:  ..
  icmp-blocks:  ....

输出区域 全部启用的特性。如果生略区域,将显示默认区域的信息。

firewall-cmd [--zone=] --list-all

获取默认区域的网络设置

firewall-cmd --get-default-zone

设置默认区域

firewall-cmd --set-default-zone=

流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。

获取活动的区域

firewall-cmd --get-active-zones

这条命令将用以下格式输出每个区域所含接口:

  .. ..

根据接口获取区域

firewall-cmd --get-zone-of-interface=

这条命令将输出接口所属的区域名称。

将接口增加到区域

firewall-cmd [--zone=] --add-interface=

如果接口不属于区域,接口将被增加到区域。如果区域被省略了,将使用默认区域。接口在重新加载后将重新应用。

修改接口所属区域

firewall-cmd [--zone=] --change-interface=

这个选项与 –add-interface 选项相似,但是当接口已经存在于另一个区域的时候,该接口将被添加到新的区域。

从区域中删除一个接口

firewall-cmd [--zone=] --remove-interface=

查询区域中是否包含某接口

firewall-cmd [--zone=] --query-interface=

返回接口是否存在于该区域。没有输出。

列举区域中启用的服务

firewall-cmd [ --zone= ] --list-services

启用应急模式阻断所有网络连接,以防出现紧急状况

firewall-cmd --panic-on

禁用应急模式

firewall-cmd --panic-off
 代码如下 复制代码

应急模式在 0.3.0 版本中发生了变化
在 0.3.0 之前的 FirewallD版本中, panic 选项是 –enable-panic 与 –disable-panic.

查询应急模式

firewall-cmd --query-panic

此命令返回应急模式的状态,没有输出。可以使用以下方式获得状态输出:

firewall-cmd --query-panic && echo "On" || echo "Off"

处理运行时区域

运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效。

启用区域中的一种服务

firewall-cmd [--zone=] --add-service= [--timeout=]

此举启用区域中的一种服务。如果未指定区域,将使用默认区域。如果设定了超时时间,服务将只启用特定秒数。如果服务已经活跃,将不会有任何警告信息。

例: 使区域中的ipp-client服务生效60秒:

firewall-cmd --zone=home --add-service=ipp-client --timeout=60

例: 启用默认区域中的http服务:

firewall-cmd --add-service=http

禁用区域中的某种服务

firewall-cmd [--zone=] --remove-service=

此举禁用区域中的某种服务。如果未指定区域,将使用默认区域。

例: 禁止home区域中的http服务:

firewall-cmd --zone=home --remove-service=http

区域种的服务将被禁用。如果服务没有启用,将不会有任何警告信息。

查询区域中是否启用了特定服务

firewall-cmd [--zone=] --query-service=

如果服务启用,将返回1,否则返回0。没有输出信息。

启用区域端口和协议组合

firewall-cmd [--zone=] --add-port=[-]/ [--timeout=]

此举将启用端口和协议的组合。端口可以是一个单独的端口 或者是一个端口范围 - 。协议可以是 tcp 或 udp。

禁用端口和协议组合

firewall-cmd [--zone=] --remove-port=[-]/

查询区域中是否启用了端口和协议组合

firewall-cmd [--zone=] --query-port=[-]/

如果启用,此命令将有返回值。没有输出信息。

启用区域中的IP伪装功能

firewall-cmd [--zone=] --add-masquerade

此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4。

禁用区域中的IP伪装

firewall-cmd [--zone=] --remove-masquerade

查询区域的伪装状态

firewall-cmd [--zone=] --query-masquerade

如果启用,此命令将有返回值。没有输出信息。

启用区域的ICMP阻塞功能

firewall-cmd [--zone=] --add-icmp-block=

此举将启用选中的Internet控制报文协议(ICMP)报文进行阻塞。ICMP报文可以是请求信息或者创建的应答报文,以及错误应答。

禁止区域的ICMP阻塞功能

firewall-cmd [--zone=] --remove-icmp-block=

查询区域的ICMP阻塞功能

firewall-cmd [--zone=] --query-icmp-block=

如果启用,此命令将有返回值。没有输出信息。

例: 阻塞区域的响应应答报文:

firewall-cmd --zone=public --add-icmp-block=echo-reply

在区域中启用端口转发或映射

firewall-cmd [--zone=] --add-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
 | :toport=[-]:toaddr=
 }

端口可以映射到另一台主机的同一端口,也可以是同一主机或另一主机的不同端口。端口号可以是一个单独的端口 或者是端口范围 - 。协议可以为 tcp 或udp 。目标端口可以是端口号 或者是端口范围 - 。目标地址可以是 IPv4 地址。受内核限制,端口转发功能仅可用于IPv4。

禁止区域的端口转发或者端口映射

firewall-cmd [--zone=] --remove-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
 | :toport=[-]:toaddr=
 }

查询区域的端口转发或者端口映射

firewall-cmd [--zone=] --query-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
 | :toport=[-]:toaddr=
 }

如果启用,此命令将有返回值。没有输出信息。

例: 将区域home的ssh转发到127.0.0.2

firewall-cmd --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2

处理永久区域

永久选项不直接影响运行时的状态。这些选项仅在重载或者重启服务时可用。为了使用运行时和永久设置,需要分别设置两者。 选项 –permanent 需要是永久设置的第一个参数。

获取永久选项所支持的服务

firewall-cmd --permanent --get-services

获取永久选项所支持的ICMP类型列表

firewall-cmd --permanent --get-icmptypes

获取支持的永久区域

firewall-cmd --permanent --get-zones

启用区域中的服务

firewall-cmd --permanent [--zone=] --add-service=

此举将永久启用区域中的服务。如果未指定区域,将使用默认区域。

禁用区域中的一种服务

firewall-cmd --permanent [--zone=] --remove-service=

查询区域中的服务是否启用

firewall-cmd --permanent [--zone=] --query-service=

如果服务启用,此命令将有返回值。此命令没有输出信息。

例: 永久启用 home 区域中的 ipp-client 服务

firewall-cmd --permanent --zone=home --add-service=ipp-client

永久启用区域中的一个端口-协议组合

firewall-cmd --permanent [--zone=] --add-port=[-]/

永久禁用区域中的一个端口-协议组合

firewall-cmd --permanent [--zone=] --remove-port=[-]/

查询区域中的端口-协议组合是否永久启用

firewall-cmd --permanent [--zone=] --query-port=[-]/

如果服务启用,此命令将有返回值。此命令没有输出信息。

例: 永久启用 home 区域中的 https (tcp 443) 端口

firewall-cmd --permanent --zone=home --add-port=443/tcp

永久启用区域中的伪装

firewall-cmd --permanent [--zone=] --add-masquerade

此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4。

永久禁用区域中的伪装

firewall-cmd --permanent [--zone=] --remove-masquerade

查询区域中的伪装的永久状态

firewall-cmd --permanent [--zone=] --query-masquerade

如果服务启用,此命令将有返回值。此命令没有输出信息。

永久启用区域中的ICMP阻塞

firewall-cmd --permanent [--zone=] --add-icmp-block=

此举将启用选中的 Internet 控制报文协议 (ICMP) 报文进行阻塞。 ICMP 报文可以是请求信息或者创建的应答报文或错误应答报文。

永久禁用区域中的ICMP阻塞

firewall-cmd --permanent [--zone=] --remove-icmp-block=

查询区域中的ICMP永久状态

firewall-cmd --permanent [--zone=] --query-icmp-block=

如果服务启用,此命令将有返回值。此命令没有输出信息。

例: 阻塞公共区域中的响应应答报文:

firewall-cmd --permanent --zone=public --add-icmp-block=echo-reply

在区域中永久启用端口转发或映射

firewall-cmd --permanent [--zone=] --add-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
 | :toport=[-]:toaddr=
 }

端口可以映射到另一台主机的同一端口,也可以是同一主机或另一主机的不同端口。端口号可以是一个单独的端口 或者是端口范围 - 。协议可以为 tcp 或udp 。目标端口可以是端口号 或者是端口范围 - 。目标地址可以是 IPv4 地址。受内核限制,端口转发功能仅可用于IPv4。

永久禁止区域的端口转发或者端口映射

firewall-cmd --permanent [--zone=] --remove-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
 | :toport=[-]:toaddr=
 }

查询区域的端口转发或者端口映射状态

firewall-cmd --permanent [--zone=] --query-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
 | :toport=[-]:toaddr=
 }

如果服务启用,此命令将有返回值。此命令没有输出信息。

例: 将 home 区域的 ssh 服务转发到 127.0.0.2

firewall-cmd --permanent --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2

直接选项

直接选项主要用于使服务和应用程序能够增加规则。 规则不会被保存,在重新加载或者重启之后必须再次提交。传递的参数 与 iptables, ip6tables 以及 ebtables 一致。

选项–direct需要是直接选项的第一个参数。

将命令传递给防火墙。参数 可以是 iptables, ip6tables 以及 ebtables 命令行参数。

firewall-cmd --direct --passthrough { ipv4 | ipv6 | eb } 

为表

增加一个新链 

firewall-cmd --direct --add-chain { ipv4 | ipv6 | eb } 
 

从表

中删除链 

firewall-cmd --direct --remove-chain { ipv4 | ipv6 | eb } 
 

查询 链是否存在与表

. 如果是,返回0,否则返回1.

firewall-cmd --direct --query-chain { ipv4 | ipv6 | eb } 
 

如果启用,此命令将有返回值。此命令没有输出信息。

获取用空格分隔的表

中链的列表。

firewall-cmd --direct --get-chains { ipv4 | ipv6 | eb } 

为表

增加一条参数为 的链 ,优先级设定为 

firewall-cmd --direct --add-rule { ipv4 | ipv6 | eb } 
   

从表

中删除带参数 的链 

firewall-cmd --direct --remove-rule { ipv4 | ipv6 | eb } 
  

查询带参数 的链 是否存在表

中. 如果是,返回0,否则返回1.

firewall-cmd --direct --query-rule { ipv4 | ipv6 | eb } 
  

如果启用,此命令将有返回值。此命令没有输出信息。

获取表

中所有增加到链 的规则,并用换行分隔。

firewall-cmd --direct --get-rules { ipv4 | ipv6 | eb } 
 

当前的firewalld特性 

D-BUS接口

D-BUS 接口提供防火墙状态的信息,使防火墙的启用、停用或查询设置成为可能。

区域

网络或者防火墙区域定义了连接的可信程度。firewalld 提供了几种预定义的区域。区域配置选项和通用配置信息可以在firewall.zone(5)的手册里查到。

服务

服务可以是一系列本读端口、目的以及附加信息,也可以是服务启动时自动增加的防火墙助手模块。预定义服务的使用使启用和禁用对服务的访问变得更加简单。服务配置选项和通用文件信息在 firewalld.service(5) 手册里有描述。

ICMP类型

Internet控制报文协议 (ICMP) 被用以交换报文和互联网协议 (IP) 的错误报文。在 firewalld 中可以使用 ICMP 类型来限制报文交换。 ICMP 类型配置选项和通用文件信息可以参阅 firewalld.icmptype(5) 手册。

直接接口

直接接口主要用于服务或者应用程序增加特定的防火墙规则。这些规则并非永久有效,并且在收到 firewalld 通过 D-Bus 传递的启动、重启、重载信号后需要重新应用。

运行时配置

运行时配置并非永久有效,在重新加载时可以被恢复,而系统或者服务重启、停止时,这些选项将会丢失。

永久配置

永久配置存储在配置文件种,每次机器重启或者服务重启、重新加载时将自动恢复。

托盘小程序

托盘小程序 firewall-applet 为用户显示防火墙状态和存在的问题。它也可以用来配置用户允许修改的设置。

图形化配置工具

firewall daemon 主要的配置工具是 firewall-config 。它支持防火墙的所有特性(除了由服务/应用程序增加规则使用的直接接口)。 管理员也可以用它来改变系统或用户策略。

命令行客户端

firewall-cmd是命令行下提供大部分图形工具配置特性的工具。

对于ebtables的支持

要满足libvirt daemon的全部需求,在内核 netfilter 级上防止 ip*tables 和 ebtables 间访问问题,ebtables 支持是需要的。由于这些命令是访问相同结构的,因而不能同时使用。

/usr/lib/firewalld中的默认/备用配置

该目录包含了由 firewalld 提供的默认以及备用的 ICMP 类型、服务、区域配置。由 firewalld 软件包提供的这些文件不能被修改,即使修改也会随着 firewalld 软件包的更新被重置。 其他的 ICMP 类型、服务、区域配置可以通过软件包或者创建文件的方式提供。

/etc/firewalld中的系统配置设置
存储在此的系统或者用户配置文件可以是系统管理员通过配置接口定制的,也可以是手动定制的。这些文件将重载默认配置文件。

为了手动修改预定义的 icmp 类型,区域或者服务,从默认配置目录将配置拷贝到相应的系统配置目录,然后根据需求进行修改。

如果你加载了有默认和备用配置的区域,在 /etc/firewalld下的对应文件将被重命名为 .old 然后启用备用配置。

正在开发的特性 

富语言

富语言特性提供了一种不需要了解iptables语法的通过高级语言配置复杂 IPv4 和 IPv6 防火墙规则的机制。

Fedora 19 提供了带有 D-Bus 和命令行支持的富语言特性第2个里程碑版本。第3个里程碑版本也将提供对于图形界面 firewall-config 的支持。

对于此特性的更多信息,请参阅: firewalld Rich Language

锁定

锁定特性为 firewalld 增加了锁定本地应用或者服务配置的简单配置方式。它是一种轻量级的应用程序策略。

Fedora 19 提供了锁定特性的第二个里程碑版本,带有 D-Bus 和命令行支持。第3个里程碑版本也将提供图形界面 firewall-config 下的支持。

更多信息请参阅: firewalld Lockdown

永久直接规则

这项特性处于早期状态。它将能够提供保存直接规则和直接链的功能。通过规则不属于该特性。更多关于直接规则的信息请参阅Direct options。

从ip*tables和ebtables服务迁移
这项特性处于早期状态。它将尽可能提供由iptables,ip6tables 和 ebtables 服务配置转换为永久直接规则的脚本。此特性在由firewalld提供的直接链集成方面可能存在局限性。

此特性将需要大量复杂防火墙配置的迁移测试。

计划和提议功能
防火墙抽象模型

在 ip*tables 和 ebtables 防火墙规则之上添加抽象层使添加规则更简单和直观。要抽象层功能强大,但同时又不能复杂,并不是一项简单的任务。为此,不得不开发一种防火墙语言。使防火墙规则拥有固定的位置,可以查询端口的访问状态、访问策略等普通信息和一些其他可能的防火墙特性。

对于conntrack的支持

要终止禁用特性已确立的连接需要 conntrack 。不过,一些情况下终止连接可能是不好的,如:为建立有限时间内的连续性外部连接而启用的防火墙服务。

用户交互模型

这是防火墙中用户或者管理员可以启用的一种特殊模式。应用程序所有要更改防火墙的请求将定向给用户知晓,以便确认和否认。为一个连接的授权设置一个时间限制并限制其所连主机、网络或连接是可行的。配置可以保存以便将来不需通知便可应用相同行为。 该模式的另一个特性是管理和应用程序发起的请求具有相同功能的预选服务和端口的外部链接尝试。服务和端口的限制也会限制发送给用户的请求数量。

用户策略支持

管理员可以规定哪些用户可以使用用户交互模式和限制防火墙可用特性。

端口元数据信息(由 Lennart Poettering 提议)

拥有一个端口独立的元数据信息是很好的。当前对 /etc/services 的端口和协议静态分配模型不是个好的解决方案,也没有反映当前使用情况。应用程序或服务的端口是动态的,因而端口本身并不能描述使用情况。

元数据信息可以用来为防火墙制定简单的规则。下面是一些例子:

  • 允许外部访问文件共享应用程序或服务

  • 允许外部访问音乐共享应用程序或服务

  • 允许外部访问全部共享应用程序或服务

  • 允许外部访问 torrent 文件共享应用程序或服务

  • 允许外部访问 http 网络服务

这里的元数据信息不只有特定应用程序,还可以是一组使用情况。例如:组“全部共享”或者组“文件共享”可以对应于全部共享或文件共享程序(如:torrent 文件共享)。这些只是例子,因而,可能并没有实际用处。

这里是在防火墙中获取元数据信息的两种可能途径:
第一种是添加到 netfilter (内核空间)。好处是每个人都可以使用它,但也有一定使用限制。还要考虑用户或系统空间的具体信息,所有这些都需要在内核层面实现。
第二种是添加到 firewall daemon 中。这些抽象的规则可以和具体信息(如:网络连接可信级、作为具体个人/主机要分享的用户描述、管理员禁止完全共享的应归则等)一起使用。
第二种解决方案的好处是不需要为有新的元数据组和纳入改变(可信级、用户偏好或管理员规则等等)重新编译内核。这些抽象规则的添加使得 firewall daemon 更加自由。即使是新的安全级也不需要更新内核即可轻松添加。

sysctld
现在仍有 sysctl 设置没有正确应用。一个例子是,在 rc.sysinit 正运行时,而提供设置的模块在启动时没有装载或者重新装载该模块时会发生问题。

另一个例子是 net.ipv4.ip_forward ,防火墙设置、libvirt 和用户/管理员更改都需要它。如果有两个应用程序或守护进程只在需要时开启 ip_forwarding ,之后可能其中一个在不知道的情况下关掉服务,而另一个正需要它,此时就不得不重启它。

sysctl daemon 可以通过对设置使用内部计数来解决上面的问题。此时,当之前请求者不再需要时,它就会再次回到之前的设置状态或者是直接关闭它。

防火墙规则

netfilter 防火墙总是容易受到规则顺序的影响,因为一条规则在链中没有固定的位置。在一条规则之前添加或者删除规则都会改变此规则的位置。 在静态防火墙模型中,改变防火墙就是重建一个干净和完善的防火墙设置,且受限于 system-config-firewall / lokkit 直接支持的功能。也没有整合其他应用程序创建防火墙规则,且如果自定义规则文件功能没在使用 s-c-fw / lokkit 就不知道它们。默认链通常也没有安全的方式添加或删除规则而不影响其他规则。

动态防火墙有附加的防火墙功能链。这些特殊的链按照已定义的顺序进行调用,因而向链中添加规则将不会干扰先前调用的拒绝和丢弃规则。从而利于创建更为合理完善的防火墙配置。

下面是一些由守护进程创建的规则,过滤列表中启用了在公共区域对 ssh , mdns 和 ipp-client 的支持:

*filter
:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]:FORWARD_ZONES - [0:0]:FORWARD_direct - [0:0]:INPUT_ZONES - [0:0]:INPUT_direct - [0:0]:IN_ZONE_public - [0:0]:IN_ZONE_public_allow - [0:0]:IN_ZONE_public_deny - [0:0]:OUTPUT_direct - [0:0]-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES
-A INPUT -p icmp -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_ZONES
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j OUTPUT_direct
-A IN_ZONE_public -j IN_ZONE_public_deny
-A IN_ZONE_public -j IN_ZONE_public_allow
-A IN_ZONE_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_public_allow -d 224.0.0.251/32 -p udp -m udp --dport 5353 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_public_allow -p udp -m udp --dport 631 -m conntrack --ctstate NEW -j ACCEPT

使用 deny/allow 模型来构建一个清晰行为(最好没有冲突规则)。例如: ICMP块将进入 IN_ZONE_public_deny 链(如果为公共区域设置了的话),并将在 IN_ZONE_public_allow 链之前处理。

该模型使得在不干扰其他块的情况下向一个具体块添加或删除规则而变得更加容易。


转载于:https://blog.51cto.com/xiumin/1871008

你可能感兴趣的:(网络,运维)

  • 一张图理清TCP/IP参考模型、OSI模型及HTTP/HTTPS的对应关系 ChristopherKeith httphttpstcp/ipOSI网络协议
    本文不涉及具体概念定义的解析,旨在理清不同模型分层及HTTP协议的对应关系,具体概念解析可参考文章末尾的参考链接1.前言网络通信模型网络通信模型一般有TCP/IP参考模型及OSI模型分层模型,TCP/IP参考模型有四层,而OSI模型有七层,TCP/IP参考模型和OSI模型大致上可以互相覆盖,但又不是完全重叠HTTP/HTTPS狭义的HTTP指定义于应用层的超文本传输协议,而广义的HTTP指应用层H
  • 分布式与微服务:构建现代应用的关键架构 喜欢猪猪 php开发语言
    一、背景知识(一)计算机系统架构的演变在计算机发展的早期阶段,大多数系统是单机架构,即所有的应用程序、数据存储和处理都在一台计算机上完成。然而,随着业务需求的增长和用户数量的不断攀升,单机系统面临着诸多挑战,如性能瓶颈、资源限制以及可靠性问题。为了应对这些挑战,分布式系统应运而生。分布式系统将应用程序和数据分散到多个计算机节点上,通过网络连接进行协作,共同完成任务。(二)微服务的兴起微服务架构是在
  • ELK介绍 小馋喵知识杂货铺 性能elk
    ELK是由三个开源项目组成的日志管理解决方案,分别是Elasticsearch、Logstash和Kibana。这三个工具协同工作,提供强大的日志收集、处理、存储和可视化能力。通常,ELK被用于大规模的日志分析和数据监控,帮助开发人员和运维团队快速发现问题、进行故障排查和性能优化。1.Elasticsearch(E)Elasticsearch是一个基于Lucene的开源搜索引擎,提供实时的分布式搜
  • 深入解析 GZIP 压缩传输:优化网络性能的利器 码农阿豪@新空间代码工作室 好“物”分享网络
    个人名片作者简介:java领域优质创作者个人主页:码农阿豪工作室:新空间代码工作室(提供各种软件服务)个人邮箱:[[email protected]]个人微信:15279484656个人导航网站:www.forff.top座右铭:总有人要赢。为什么不能是我呢?专栏导航:码农阿豪系列专栏导航面试专栏:收集了java相关高频面试题,面试实战总结️Spring5系列专栏:整理了Spring5重要知识点与
  • 使用 Spring AI 调用本地 模型实现 drebander AI编程springjavaspringAI
    在本篇博客中,我们将学习如何使用SpringAI框架调用本地的PyTorch模型,并通过SpringBoot提供一个预测接口。SpringAI是一个用于将人工智能应用集成到Spring生态系统中的框架,它支持多种AI模型和数据源的集成,帮助开发者将AI模型无缝地集成到Java应用中。1.准备PyTorch模型首先,我们需要训练并保存一个PyTorch模型。这里我们使用一个简单的神经网络模型作为示例
  • 计算广告(一) 爱学习的菜鸟罢了 搜广推人工智能
    计算广告学是一个十分庞大的学科,里面涵盖了自然语言处理、机器学习、推荐系统等众多研究方向。而且广告作为互联网行业的三大盈利模式(广告、电商、游戏)之一,也是这三大模式中最有技术含量的,计算广告学一直都吸引着无数学术界/工业界的精英投入其中(ps:计算广告学也是机器学习在商业界最成功的应用之一)。行业分类例子盈利搜索引擎Google百度广告社交网络腾讯facebook广告增值服务游戏电商网站亚马逊阿
  • Pinterest打不开怎么办?先从这几个方面排查 纯干苹果派 人工智能大数据网络物联网
    Pinterest作为社交种草、推广营销和灵感分享的重要平台,是众多用户的每日必用工具。如果无法正常打开和使用,必然会有不小的负面影响。可以参考本文整理的可能原因和解决方法。一、可能原因1.网络连接问题移动数据网络信号弱、网络延迟严重、Wi-Fi信号不稳定、Pinterest联网权限未打开……这些都是导致Pinterest打不开的常见网络连接问题。2.浏览器问题使用的浏览器缓存文件太冗杂、Cook
  • 以企业为中心的隐私保护与数据安全治理(基于GRC) 「已注销」 大数据审计数据安全安全大数据产品运营
    跳出单独的法律行规的层面,基于GRC、CG的角度简单快速梳理了一下数据安全与隐私保护治理的内容。数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等,目的是让企业在市场中保持竞争优势、法律合规以及数据安全战略securityprojectmanagement过程:项目规划、项目实施、效果检测、覆盖评估内容安全防御基础设施DDoS、HIDS、WAF安全运维基础设
  • 安卓图形化开发!Android插件化主流框架和实现原理,值得收藏! 赵是水瓶座 程序员Android
    前言先介绍一下自己吧,不是什么二本渣校也不是什么非专业。我就是重点大学毕业,大学学的是Java,我个人比较乐于学习于是自学Android一年。趁着这次疫情,大洗牌我凭借天生优势,——聪明的脑袋以及自己不断地刻苦的学习,在一众高手之中成功脱颖而出。现在网上都喜欢这么搞,哪有这么多二本渣校逆袭。年薪50w+都是吹出来的,只有你正真拿到年薪50w+你才知道,你要做多少事,付出多少。目录:1.网络2.Ja
  • Windows10环境vagrant+VirtualBox虚拟机无法创建私有网络的解决方案。 XiaoYu_3328 运维操作系统
    报错信息==>default:Clearinganypreviouslysetnetworkinterfaces...Therewasanerrorwhileexecuting`VBoxManage`,aCLIusedbyVagrantforcontrollingVirtualBox.Thecommandandstderrisshownbelow.Command:["hostonlyif","cr
  • 如何使用Langchain加载Blackboard文档 PPIG564 langchain前端python
    在当今数字化和网络化的学习环境中,Blackboard已成为许多教育机构的关键工具。为了有效地集成和利用Blackboard中的数据,开发人员可以使用特定的工具来加载和处理这些数据。Langchain是一个强大的Python库,能够帮助我们轻松地处理Blackboard中的文档数据。在本文中,我们将深入了解如何使用Langchain来加载Blackboard文档。技术背景介绍BlackboardL
  • Facebook 隐私变革之路:回顾与展望 ClonBrowser Facebookfacebook隐私保护人工智能数据安全
    在数字时代,个人隐私的保护一直是社交平台面临的重大挑战之一。作为全球最大的社交网络平台,Facebook(现为Meta)在处理用户隐私方面的变革,历经了多次调整与完善。本文将回顾Facebook在隐私保护方面的历程,并展望其未来在隐私保护方面的发展方向。隐私争议的起点Facebook的隐私变革之路始于其早期的隐私政策。最初,Facebook的隐私设置较为宽松,用户的个人数据常常被分享给广告商或第三
  • Facebook的隐私保护政策:用户数据如何在平台上被管理? ClonBrowser Facebookfacebook人工智能社交媒体隐私保护
    在当今数字化世界,社交平台如何管理用户数据并保护隐私成为了一个热点话题。作为全球最大的社交网络,Facebook(现Meta)在数据隐私方面的政策备受关注。本文将简要介绍Facebook的隐私保护措施,以及用户数据如何在平台上被管理。1.Facebook如何收集用户数据?Facebook通过多种方式收集用户数据,包括:用户提供的个人信息:如姓名、电子邮件地址、生日等。行为数据:用户在平台上的互动、
  • CSS语言的编程范式 ByteBlossom666 包罗万象golang开发语言后端
    CSS语言的编程范式引言随着互联网的发展,网络应用和网站的数量不断增加,前端开发的复杂性也在日益增加。在前端开发中,CSS(层叠样式表)作为一种描述文档外观的语言,扮演着至关重要的角色。虽然CSS语言的设计初心是为HTML文档提供样式和布局,但在实际使用中,它的表达能力与编程范式的结合,使得我们能够以更加高效和灵活的方式来构建用户界面。本文将深入探讨CSS语言的编程范式,分析其基本概念、特点、应用
  • SSM 架构中 JAVA 网络直播带货查询系统设计与 JSP 有效实现方法 2401_85439108 架构java开发语言
    摘要随着科学技术的飞速发展,各行各业都在努力与现代先进技术接轨,通过科技手段提高自身的优势;对于网络直播带货网站当然也不能排除在外,随着网络技术的不断成熟,带动了网络直播带货网站,它彻底改变了过去传统的管理方式,不仅使服务管理难度变低了,还提升了管理的灵活性。这种个性化的平台特别注重交互协调与管理的相互配合,激发了管理人员的创造性与主动性,对网络直播带货网站而言非常有利。本系统采用的数据库是Mys
  • 软考信安19~操作系统安全保护 jnprlxc 软考~信息安全工程师安全网络学习方法笔记运维
    1、操作系统安全概述1.1、操作系统安全概念操作系统的安全是指满足安全策略要求,具有相应的安全机制及安全功能,符合特定的安全标准,在一定约束条件下,能够抵御常见的网络安全威胁,保障自身的安全运行及资源安全。《信息安全技术操作系统安全技术要求(GB/T20272—2019)》将操作系统分成五个安全等级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访间验证保护级。操作系统的安全可控
  • 软考信安12~网络安全审计技术原理与应用 jnprlxc 软考~信息安全工程师安全网络安全学习方法
    1、网络安全审计概述1.1、网络安全审计概念网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后“安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统,则部署独立的网络安全审计系统。
  • 软考信安01~网络信息安全概述 jnprlxc 软考~信息安全工程师笔记经验分享学习方法网络安全安全威胁分析
    1、网络信息安全概念1.1、网络信息安全定义狭义:网络信息安全特指网络信息系统的各组成要素符合安全属性的要求,即机密性、完整性、可用性、抗抵赖性、可控性。广义:涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”。网络安全法定义:通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处千稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可
  • 勒索病毒侵袭,企业数据安全的 “生死时速” 与应对攻略 知白守黑V 安全运营数据安全勒索病毒数据安全系统安全勒索病毒应急处置安全防护安全合规安全加固
    在当下数字化的汹涌浪潮中,勒索病毒犹如隐匿于网络暗域的“数字劫匪”,冷不丁便会对企业的数据安全防线发动致命突袭。一旦遭受攻击,企业极有可能面临业务的全面停摆、核心数据的丢失,甚至是信誉的严重受损,其损失难以估量。故而,企业必须紧握这份“防勒索病毒秘籍”,方能从容应对病毒威胁。一、应急处置,争分夺秒紧急隔离,斩断病毒“传播链路”一旦发现设备感染勒索病毒,应立即采取行动,切断网络连接、关闭电源,这如同
  • 揭秘!云勒索软件:云端安全新威胁,企业数据岌岌可危 知白守黑V 安全运营数据安全云安全数据安全信息安全安全云计算勒索软件网络攻击网络安全
    近年来,云勒索软件成为网络安全领域最具威胁性的攻击手段之一,全球各类规模的云存储企业都深受其害。云基础设施巨大的攻击面以及存储的海量敏感数据,为网络犯罪组织提供了前所未有的“丰厚回报”,使其成为勒索软件团伙追逐的高利润目标。云服务为何成为勒索软件的首选目标随着亚马逊AWS和微软Azure等云服务提供商(CSPs)的持续扩展,网络犯罪分子正将攻击重心从传统的终端设备转向云平台。正如SentinelL
  • 浅析5G通信技术在铁路中的应用 慎独⊥修己 5G信息与通信网络
    引言铁路作为我国最早应用无线通信技术的行业之一,经过几十年的应用发展和技术积累,已形成适应铁路体制的铁路专用通信技术体系。21世纪,为满足我国高速铁路的发展需要,原铁道部正式确定了铁路专用数字移动通信系统(GSM—R)的技术方向。历经10多年发展,我国已建成全球最大的GSM—R网络。但伴随着智能铁路等新的建设要求提出,GSM—R作为窄带无线通信的技术局限性越发突出,无法满足铁路行车应用和运营维护业
  • 网络测试仪使用方法 network_tester 网络测试仪网络服务器运维信息与通信测试工具网络协议tcp/ip
    网络测试仪的使用方法主要包括以下步骤:一、准备工作确认设备型号与规格:检查网络测试仪的型号和规格,了解其支持的测试功能和参数范围,确保设备满足测试需求。检查电源与配件:确保测试仪的电源充足,或者已连接好充电器。准备好所需的测试线缆、适配器和其他配件,确保它们在测试过程中能够正常使用。测试环境准备:选择一个安全、稳定的测试环境,避免对网络设备和用户造成损害。确保测试过程中不会干扰到正常的网络运行。二
  • 网络损伤仪怎么设置 network_tester 网络损伤仿真仪网络
    网络损伤仪的设置步骤可能因品牌和型号的不同而有所差异,但一般来说,以下是一个基本的设置流程,以供参考:一、物理连接准备网线:根据网络损伤仪的端口数量,准备足够的网线用于连接。连接设备:将网络损伤仪的端口(如port1、port2等)分别与服务端和客户端设备相连。同时,如果网络损伤仪有控制口(如control口),也需要用网线将其与控制电脑相连。开机:确保网络损伤仪已正确连接电源,并开机。二、软件部
  • 无线wifi测试 network_tester WIFI测试测试工具安全性测试功能测试信息与通信网络安全网络协议
    无线WiFi测试是评估无线网络性能、稳定性和安全性的重要环节。以下是关于无线WiFi测试的详细解释:一、测试目的无线WiFi测试的主要目的是确保无线网络能够满足用户的实际需求,提供稳定、高速的网络连接。通过测试,可以及时发现并解决网络中的问题,优化网络配置,提升用户体验。二、测试内容信号强度测试:测试不同位置(如房间角落、走廊、户外等)的WiFi信号强度,以评估网络的覆盖范围。使用专业的WiFi测
  • 以太网链路健康状况测试 network_tester 以太网测试网络服务器linux
    以太网链路健康状况测试是确保网络稳定性和性能的重要环节。以下是对以太网链路健康状况测试的详细解析:一、测试目的以太网链路健康状况测试的主要目的是评估链路的稳定性、可靠性和性能,确保网络数据能够高效、准确地传输。二、测试标准在进行以太网链路健康状况测试时,通常会遵循以下标准:GB/T21671-2018:基于以太网技术的局域网(LAN)系统验收测试方法。该标准详细规定了以太网链路的测试方法、测试参数
  • 怎么测试4g5g信号 network_tester 5G测试网络5G测试工具信号处理功能测试信息与通信
    测试4G和5G信号可以通过以下几种方法进行:一、使用手机自带功能测试信号栏查看:在大多数手机上,信号栏通常以格子的形式显示信号强度,有时也会显示信号强度的具体数值。一般而言,满格代表信号强度很好,而少于两格则表示信号较弱。工程模式查看:打开手机拨号界面,输入特定代码(不同手机型号的代码可能不同)进入工程模式。找到信号信息或网络信息选项,即可查看信号强度数值。例如,对于iPhone手机,可以在拨号盘
  • MasterSAM downloadService任意文件读取(CVE-2024-55457)(附脚本) iSee857 漏洞复现安全web安全
    免责申明:本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。0x01产品描述:MasterSAM是一款专注于身份管理和单点登录(SSO)的企业级软件,主要用于集中管理用户账户、权限和访问控制。它支持单点登录功能
  • 7-Zip Mark-of-the-Web绕过漏洞复现(CVE-2025-0411) iSee857 漏洞复现安全web安全
    免责申明:本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。0x01产品描述:7-Zip是一款开源、免费的文件压缩和解压缩软件,以其高压缩比和广泛的格式支持而闻名。它使用LZMA和LZMA2压缩算法,提供极高的
  • 基于.net的新闻发布系统的设计与实现 糖果_0812 .netasp.net数据库internetc#语言
    摘要:随着网络技术的发展和Internet应用的普及,互联网已成为人们获取信息的一个重要途径。而越来越多的企业和单位拥有了自己的新闻发布系统。本文主要运用ASP.NET技术框架基于C#语言制作的一个动态网站,数据库采用SQLServer。实现网站新闻的动态管理,使得对信息的管理更加及时、高效,提高了工作效率。关键词:ASP.NET;C#;新闻发布系统中图分类号:TP311.13文献标识码:A文章编
  • python自动化扫描,多线程枚举获取wifi信息,让你走在任何一个地方都能上网 代码讲故事 深耕技术之源python自动化扫描无线网络网络连接
    python自动化扫描,多线程枚举获取wifi信息,让你走在任何一个地方都能上网。无线网络在无线局域网的范畴是指“无线相容性认证”,实质上是一种商业认证,同时也是一种无线联网技术,以前通过网线连接电脑,而Wi-Fi则是通过无线电波来连网;常见的就是一个无线路由器,那么在这个无线路由器的电波覆盖的有效范围都可以采用Wi-Fi连接方式进行联网,如果无线路由器连接了一条ADSL线路或者别的上网线路,则又
  • 遍历dom 并且存储(将每一层的DOM元素存在数组中) 换个号韩国红果果 JavaScripthtml
    数组从0开始!! var a=[],i=0; for(var j=0;j<30;j++){ a[j]=[];//数组里套数组,且第i层存储在第a[i]中 } function walkDOM(n){ do{ if(n.nodeType!==3)//筛选去除#text类型 a[i].push(n); //con
  • Android+Jquery Mobile学习系列(9)-总结和代码分享 白糖_ JQuery Mobile
    目录导航   经过一个多月的边学习边练手,学会了Android基于Web开发的毛皮,其实开发过程中用Android原生API不是很多,更多的是HTML/Javascript/Css。   个人觉得基于WebView的Jquery Mobile开发有以下优点: 1、对于刚从Java Web转型过来的同学非常适合,只要懂得HTML开发就可以上手做事。 2、jquerym
  • impala参考资料 dayutianfei impala
    记录一些有用的Impala资料   1. 入门资料 >>官网翻译:     http://my.oschina.net/weiqingbin/blog?catalog=423691   2. 实用进阶 >>代码&架构分析:     Impala/Hive现状分析与前景展望:http
  • JAVA 静态变量与非静态变量初始化顺序之新解 周凡杨 java静态非静态顺序
    今天和同事争论一问题,关于静态变量与非静态变量的初始化顺序,谁先谁后,最终想整理出来!测试代码: import java.util.Map; public class T { public static T t = new T(); private Map map = new HashMap(); public T(){ System.out.println(&quo
  • 跳出iframe返回外层页面 g21121 iframe
    在web开发过程中难免要用到iframe,但当连接超时或跳转到公共页面时就会出现超时页面显示在iframe中,这时我们就需要跳出这个iframe到达一个公共页面去。 首先跳转到一个中间页,这个页面用于判断是否在iframe中,在页面加载的过程中调用如下代码: <script type="text/javascript"> //<!-- function
  • JAVA多线程监听JMS、MQ队列 510888780 java多线程
    背景:消息队列中有非常多的消息需要处理,并且监听器onMessage()方法中的业务逻辑也相对比较复杂,为了加快队列消息的读取、处理速度。可以通过加快读取速度和加快处理速度来考虑。因此从这两个方面都使用多线程来处理。对于消息处理的业务处理逻辑用线程池来做。对于加快消息监听读取速度可以使用1.使用多个监听器监听一个队列;2.使用一个监听器开启多线程监听。 对于上面提到的方法2使用一个监听器开启多线
  • 第一个SpringMvc例子 布衣凌宇 spring mvc
    第一步:导入需要的包; 第二步:配置web.xml文件 <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi=
  • 我的spring学习笔记15-容器扩展点之PropertyOverrideConfigurer aijuans Spring3
    PropertyOverrideConfigurer类似于PropertyPlaceholderConfigurer,但是与后者相比,前者对于bean属性可以有缺省值或者根本没有值。也就是说如果properties文件中没有某个bean属性的内容,那么将使用上下文(配置的xml文件)中相应定义的值。如果properties文件中有bean属性的内容,那么就用properties文件中的值来代替上下
  • 通过XSD验证XML antlove xmlschemaxsdvalidationSchemaFactory
    1. XmlValidation.java package xml.validation; import java.io.InputStream; import javax.xml.XMLConstants; import javax.xml.transform.stream.StreamSource; import javax.xml.validation.Schem
  • 文本流与字符集 百合不是茶 PrintWrite()的使用字符集名字 别名获取
    文本数据的输入输出;           输入;数据流,缓冲流         输出;介绍向文本打印格式化的输出PrintWrite();   package 文本流; import java.io.FileNotFound
  • ibatis模糊查询sqlmap-mapping-**.xml配置 bijian1013 ibatis
            正常我们写ibatis的sqlmap-mapping-*.xml文件时,传入的参数都用##标识,如下所示: <resultMap id="personInfo" class="com.bijian.study.dto.PersonDTO"> <res
  • java jvm常用命令工具——jdb命令(The Java Debugger) bijian1013 javajvmjdb
            用来对core文件和正在运行的Java进程进行实时地调试,里面包含了丰富的命令帮助您进行调试,它的功能和Sun studio里面所带的dbx非常相似,但 jdb是专门用来针对Java应用程序的。         现在应该说日常的开发中很少用到JDB了,因为现在的IDE已经帮我们封装好了,如使用ECLI
  • 【Spring框架二】Spring常用注解之Component、Repository、Service和Controller注解 bit1129 controller
    在Spring常用注解第一步部分【Spring框架一】Spring常用注解之Autowired和Resource注解(http://bit1129.iteye.com/blog/2114084)中介绍了Autowired和Resource两个注解的功能,它们用于将依赖根据名称或者类型进行自动的注入,这简化了在XML中,依赖注入部分的XML的编写,但是UserDao和UserService两个bea
  • cxf wsdl2java生成代码super出错,构造函数不匹配 bitray super
        由于过去对于soap协议的cxf接触的不是很多,所以遇到了也是迷糊了一会.后来经过查找资料才得以解决. 初始原因一般是由于jaxws2.2规范和jdk6及以上不兼容导致的.所以要强制降为jaxws2.1进行编译生成.我们需要少量的修改: 我们原来的代码 wsdl2java com.test.xxx -client http://..... 修改后的代
  • 动态页面正文部分中文乱码排障一例 ronin47
    公司网站一部分动态页面,早先使用apache+resin的架构运行,考虑到高并发访问下的响应性能问题,在前不久逐步开始用nginx替换掉了apache。 不过随后发现了一个问题,随意进入某一有分页的网页,第一页是正常的(因为静态化过了);点“下一页”,出来的页面两边正常,中间部分的标题、关键字等也正常,唯独每个标题下的正文无法正常显示。 因为有做过系统调整,所以第一反应就是新上
  • java-54- 调整数组顺序使奇数位于偶数前面 bylijinnan java
    import java.util.Arrays; import java.util.Random; import ljn.help.Helper; public class OddBeforeEven { /** * Q 54 调整数组顺序使奇数位于偶数前面 * 输入一个整数数组,调整数组中数字的顺序,使得所有奇数位于数组的前半部分,所有偶数位于数组的后半
  • 从100PV到1亿级PV网站架构演变 cfyme 网站架构
    一个网站就像一个人,存在一个从小到大的过程。养一个网站和养一个人一样,不同时期需要不同的方法,不同的方法下有共同的原则。本文结合我自已14年网站人的经历记录一些架构演变中的体会。 1:积累是必不可少的 架构师不是一天练成的。 1999年,我作了一个个人主页,在学校内的虚拟空间,参加了一次主页大赛,几个DREAMWEAVER的页面,几个TABLE作布局,一个DB连接,几行PHP的代码嵌入在HTM
  • [宇宙时代]宇宙时代的GIS是什么? comsci Gis
           我们都知道一个事实,在行星内部的时候,因为地理信息的坐标都是相对固定的,所以我们获取一组GIS数据之后,就可以存储到硬盘中,长久使用。。。但是,请注意,这种经验在宇宙时代是不能够被继续使用的          宇宙是一个高维时空
  • 详解create database命令 czmmiao database
    完整命令 CREATE DATABASE mynewdb   USER SYS IDENTIFIED BY sys_password   USER SYSTEM IDENTIFIED BY system_password   LOGFILE GROUP 1 ('/u01/logs/my/redo01a.log','/u02/logs/m
  • 几句不中听却不得不认可的话 datageek
    1、人丑就该多读书。 2、你不快乐是因为:你可以像猪一样懒,却无法像只猪一样懒得心安理得。 3、如果你太在意别人的看法,那么你的生活将变成一件裤衩,别人放什么屁,你都得接着。 4、你的问题主要在于:读书不多而买书太多,读书太少又特爱思考,还他妈话痨。 5、与禽兽搏斗的三种结局:(1)、赢了,比禽兽还禽兽。(2)、输了,禽兽不如。(3)、平了,跟禽兽没两样。结论:选择正确的对手很重要。 6
  • 1 14:00 PHP中的“syntax error, unexpected T_PAAMAYIM_NEKUDOTAYIM”错误 dcj3sjt126com PHP
    原文地址:http://www.kafka0102.com/2010/08/281.html   因为需要,今天晚些在本机使用PHP做些测试,PHP脚本依赖了一堆我也不清楚做什么用的库。结果一跑起来,就报出类似下面的错误:“Parse error: syntax error, unexpected T_PAAMAYIM_NEKUDOTAYIM in /home/kafka/test/
  • xcode6 Auto layout and size classes dcj3sjt126com ios
    官方GUI   https://developer.apple.com/library/ios/documentation/UserExperience/Conceptual/AutolayoutPG/Introduction/Introduction.html   iOS中使用自动布局(一)   http://www.cocoachina.com/ind
  • 通过PreparedStatement批量执行sql语句【sql语句相同,值不同】 梦见x光 sql事务批量执行
    比如说:我有一个List需要添加到数据库中,那么我该如何通过PreparedStatement来操作呢? public void addCustomerByCommit(Connection conn , List<Customer> customerList) {    String sql = "inseret into customer(id
  • 程序员必知必会----linux常用命令之十【系统相关】 hanqunfeng Linux常用命令
    一.linux快捷键 Ctrl+C : 终止当前命令 Ctrl+S : 暂停屏幕输出 Ctrl+Q : 恢复屏幕输出 Ctrl+U : 删除当前行光标前的所有字符 Ctrl+Z : 挂起当前正在执行的进程 Ctrl+L : 清除终端屏幕,相当于clear   二.终端命令 clear : 清除终端屏幕 reset : 重置视窗,当屏幕编码混乱时使用 time com
  • NGINX IXHONG nginx
    pcre 编译安装 nginx conf/vhost/test.conf   upstream admin { server 127.0.0.1:8080; }   server {                 listen       80; &
  • 设计模式--工厂模式 kerryg 设计模式
    工厂方式模式分为三种:   1、普通工厂模式:建立一个工厂类,对实现了同一个接口的一些类进行实例的创建。   2、多个工厂方法的模式:就是对普通工厂方法模式的改进,在普通工厂方法模式中,如果传递的字符串出错,则不能正确创建对象,而多个工厂方法模式就是提供多个工厂方法,分别创建对象。   3、静态工厂方法模式:就是将上面的多个工厂方法模式里的方法置为静态,
  • Spring InitializingBean/init-method和DisposableBean/destroy-method mx_xiehd javaspringbeanxml
    1.initializingBean/init-method 实现org.springframework.beans.factory.InitializingBean接口允许一个bean在它的所有必须属性被BeanFactory设置后,来执行初始化的工作,InitialzingBean仅仅指定了一个方法。 通常InitializingBean接口的使用是能够被避免的,(不鼓励使用,因为没有必要
  • 解决Centos下vim粘贴内容格式混乱问题 qindongliang1922 centosvim
    有时候,我们在向vim打开的一个xml,或者任意文件中,拷贝粘贴的代码时,格式莫名其毛的就混乱了,然后自己一个个再重新,把格式排列好,非常耗时,而且很不爽,那么有没有办法避免呢? 答案是肯定的,设置下缩进格式就可以了,非常简单: 在用户的根目录下 直接vi  ~/.vimrc文件 然后将set pastetoggle=<F9> 写入这个文件中,保存退出,重新登录,
  • netty大并发请求问题 tianzhihehe netty
    多线程并发使用同一个channel java.nio.BufferOverflowException: null at java.nio.HeapByteBuffer.put(HeapByteBuffer.java:183) ~[na:1.7.0_60-ea] at java.nio.ByteBuffer.put(ByteBuffer.java:832) ~[na:1.7.0_60-ea]
  • Hadoop NameNode单点问题解决方案之一 AvatarNode wyz2009107220 NameNode
    我们遇到的情况 Hadoop NameNode存在单点问题。这个问题会影响分布式平台24*7运行。先说说我们的情况吧。 我们的团队负责管理一个1200节点的集群(总大小12PB),目前是运行版本为Hadoop 0.20,transaction logs写入一个共享的NFS filer(注:NetApp NFS Filer)。 经常遇到需要中断服务的问题是给hadoop打补丁。 DataNod