1.關閉兩項功能

1.selinux（生產(chǎn)中也是關閉），ids入侵檢測，md5指紋。
2.iptables（生產(chǎn)中看情況，內(nèi)網(wǎng)關閉，外網(wǎng)打開）大并發(fā)的情況，不能開iptables，影響性能，硬件防火墻。
安全優(yōu)化：
1.盡可能不給服務器配置外網(wǎng)ip?？梢酝ㄟ^代理轉發(fā)或者通過防火墻映射。
2.并發(fā)不是特別大情況在外網(wǎng)ip的環(huán)境，要開啟iptables防火墻

2.iptables流程小結

1.防火墻是一層層過濾的。實際是按照配置規(guī)則的順序從上到下，從前到后進行過濾的。
2.如果匹配上規(guī)則，則明確表明是阻止還是通過，此時數(shù)據(jù)包就不在向下匹配新規(guī)則了。
3.如果所有規(guī)則中沒有明確表明是阻止還是通過這個數(shù)據(jù)包，也就是沒有匹配上規(guī)則，向下繼續(xù)匹配，直到匹配默認規(guī)則得到明確的阻止還是通過。
4.防火墻的默認規(guī)則是對應鏈的所有的規(guī)則執(zhí)行完才會執(zhí)行的。

3.四表五鏈

#四表，讀取順序按下面順序從上到下
raw        數(shù)據(jù)包跟蹤
mangle     標記數(shù)據(jù)包
nat        網(wǎng)絡地址轉換
filter     數(shù)據(jù)包過濾

#五鏈
PREROUTING    路由之前
INPUT         數(shù)據(jù)包流入
FORWARD       數(shù)據(jù)包經(jīng)過
OUTPUT        數(shù)據(jù)包流出
POSTROUTING   路由之后

整體上是從上到下順序都在這5個鏈

4.安裝部署iptables

#內(nèi)核模塊
netfiler

#用戶
iptables
firewalld

#實驗環(huán)境：
10.0.0.51 iptables-client
10.0.0.52 iptables

centos7:
systemctl stop firewalld
yum install -y iptables iptables-services iptables-devel
systemctl start iptables

#清空防火墻規(guī)則
iptables -F
iptables -Z
iptables -X

語法：
# iptables -t 表名 動作 鏈名 匹配條件 -j 目標動作
-t 表名      默認不指定的情況下是filter表