CheckPoint 防火墙命名规则概述

作者:reistlin 发布时间:April 15, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/235
更新时间: 2009.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

checkpoint.gif

摘要: 基于 Nokia & CheckPoint 防火墙 Network Objects 命名规则的建议

[CheckPoint] 防火墙是一套完整的安全系统.目前最新的 NGX R65 版本包含了 Rules, NAT, VPN, QoS, SmartDenfense, Desktop, Connectra 和 Content Inspection 等功能模块.提供从边界,内网,Web,桌面,数据各个方面完整的企业级安全解决方案.

补充: 目前 (2010-2011年) CheckPoint 最新的版本为 NGX R70/R75 系列

为了减小管理风险,提高安全响应速度.通过参考防火墙安全管理的相关标准.结合企业 IT 运营所面临的实际的问题.整理出关于 CheckPoint 防火墙命名规则的建议.参考如下.

0. 基本命名原则

1. 命名规则需参考国际标准和规范
2. 命名规则需要标识出对象的基本类型
3. 命名规则需要标识出地向的基本特征
4. 命名规则需要表述出对象的应用范围
5. 命名规则需要表述出对象的应用方法
6. 避免滥用汉语拼音或者汉语拼音缩写
7. 善于完善 Comment 信息(英文/中文/说明)
8. 善于规范 Objcets 前缀(区域/特征/范围)
9. 字段类别首写字母需要大写
10. 字段之间使用 "_" 与 "-" 连接

阅读剩余部分...

Redhat Enterprise Linux NFS 配置

作者:reistlin 发布时间:March 24, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/199
更新时间: 2011.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

redhatcentos.gif

1,安装 nfs,portmap 服务:

rpm -ivh nfs-utils-1.0.9-42.el5.i386.rpm nfs-utils-lib-1.0.8-7.6.el5.i386.rpm system-config-nfs-1.3.23-1.el5.noarch.rpm portmap-4.0-65.2.2.1.i386.rpm

2,配置 nfs 目录,权限:/etc/exports

可以通过配置 nfs 目录权限来进行访问控制,包括来源,目录,读写权限。

reistlin:~# vim /etc/exports
 
/home/nfs/public *(ro)
/home/nfs/domain *.reistlin.com(ro,async)
/home/nfs/backup reistlin(rw,async)

配置说明:

所有用户可以访问 /home/nfs/public 目录(只读);
来自 *.reistlin.com 域的用户可以访问 /home/nfs/domain 目录(只读);
用户 reistlin 可以访问 /home/nfs/backup 目录(读写)。

建议通过映射 UID 和 GID 的方法来设置权限:

anonuid=xxx
将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx)

anongid=xxx
将远程访问的所有用户组都映射为匿名用户组,并指定该匿名用户组为本地用户组(GID=xxx)

3,配置 nfs 协议端口:/etc/sysconfig/nfs

因为 rpc 服务,mount TCP/UDP 端口都是随机的,所以会导致默认配置的 nfs 服务器,通过防火墙时无法进行正常挂载,导致 mount 失败(随机端口无法配置防火墙访问策略)

reistlin:~# vim /etc/sysconfig/nfs
 
RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
STATD_PORT=662

版本区别:

如果是 RHEL 5.x 版本,请直接修改 /etc/sysconfig/nfs 将里面的上述内容注释掉,重新启动NFS服务。

如果是 RHEL 4.x 版本,默认没有此文件,所以,请创建一个 nfs 配置文件放到 /etc/sysconfig 目录下。

4,启动 nfs 服务:nfs,portmap

reistlin:~# /etc/init.d/portmap start
Starting portmap:                                          [  OK  ]
 
reistlin:~# /etc/init.d/nfs start
Starting NFS services:                                     [  OK  ]
Starting NFS quotas:                                       [  OK  ]
Starting NFS daemon:                                       [  OK  ]
Starting NFS mountd:                                       [  OK  ]

Debian Linux Apache2 HTTPS/SSL + SVN 配置

作者:reistlin 发布时间:March 23, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/197
更新时间: 2009.12
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

debian.gif

一,环境:

Debian Liunx(5.x / 6.x) + apache2(2.2.16)+ HTTPS/SSL + Subversion(1.6.12)

二,配置:

1,安装 apache2,openssl

reistlin:~# apt-get install apache2 openssl

2,创建 ssl 目录,用于存放 ssl pem 证书文件

reistlin:~# mkdir -p /etc/apache2/ssl

3,创建 ssl 证书(svn.pem),保存到 ssl 目录(/etc/apache2/ssl)

-days 365 证书有效时间为一年,可根据需求自定义。

reistlin:~# RANDFILE=/dev/random openssl req $@ -new -x509 -days 365 -nodes \
-out /etc/apache2/ssl/svn.pem \
-keyout /etc/apache2/ssl/svn.pem

阅读剩余部分...

Debian Linux Apache2 + SVN 配置

作者:reistlin 发布时间:March 22, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/195
更新时间: 2009.12
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

debian.gif

一,环境:

Debian Liunx(5.x / 6.x) + apache2(2.2.16)+ Subversion(1.6.12)

二,配置:

1,apt-get 安装 apache2, openssl(https) 和 svn

reistlin:~# apt-get install apache2 apache2-mpm-worker openssl subversion libapache2-svn

2,新建 svn 目录(/home/svn),配置目录所有者(www-data)以及权限

reistlin:~# mkdir /home/svn
reistlin:~# chown www-data:www-data -R /home/svn/
reistlin:~# chmod 770 -R /home/svn/

3,创建 svn 用户密码配置文件:/etc/apache2/dav_svn.passwd

reistlin:~# /usr/bin/htpasswd -c /etc/apache2/dav_svn.passwd admin
New password:
Re-type new password:
Adding password for user admin

密码文件默认加密方法:CRYPT encryption,密码文件格式:用户名:密码
基于安全考虑,建议加密方法使用 SHA encryption:htpasswd -s 用户名

阅读剩余部分...

Debian Linux SSH root 统计登录失败的来源 IP 地址列表

作者:reistlin 发布时间:March 19, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/194
更新时间: 2010.04
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

debian.gif

Debian SSH “Failed password for root” List source IP

方法:

1,索引 Debian [/var/log/auth.log] 日志文件
2,查询 "Failed password for root" 关键字
3,awk 获取 IP 字段,计算/统计 IP 次数,降序排列

grep "Failed password for root" /var/log/auth.log | awk ''{print $11}'' | sort | uniq -c | sort -nr | grep -v ";"

阅读剩余部分...

[Shell] backup directory v0.1

作者:reistlin 发布时间:March 16, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/190
更新时间: 2011.01
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

linux.gif

googlecode1.gifgooglecode2.gif
[https://reistlin.googlecode.com/svn/trunk/shell/backup_directory.sh]

阅读剩余部分...

[Shell] standard daemon v0.1

作者:reistlin 发布时间:March 16, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/189
更新时间: 2011.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

linux.gif

googlecode1.gifgooglecode2.gif
[https://reistlin.googlecode.com/svn/trunk/shell/standard_daemon.sh]

阅读剩余部分...

Juniper NetScreen Redundant + 交换机 (MSTP) 冗余配置

作者:reistlin 发布时间:March 14, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/180
更新时间: 2009.11
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

juniper.gif

环境:

Juniper NetScreen(Redundant)+ H3C Switch(MSTP)

拓扑:

在双核心交换机环境中,使用单台NetScreen防火墙进行冗余连接,要求能够与双核心交换机的Layer2生成树环境结合,同时能够支持Layer3 VRRP环境。

netscreen_01.gif

SW-1和SW-2为H3C交换机,启用MSTP生成树协议。
SW-1为主根桥,SW-2为辅根桥。
SW-1的VLAN IP为:172.16.1.2。
SW-2的VLAN IP为:172.16.1.3。

NetScreen的物理接口eth0/1和物理接口eth0/2。
加入到逻辑接口Redundant1,IP地址为:172.16.1.1。

阅读剩余部分...

Nginx 优化:CPU (Core) + worker_processes (worker_cpu_affinity)

作者:reistlin 发布时间:March 8, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/176
更新时间: 2011.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

nginx

配置1:4 CPU (4 Core) + 4 worker_processes (每个worker_processes 使用1个CPU)

[reistlin@reistlin.com ~]$ cat /proc/cpuinfo | grep processor
processor       : 0
processor       : 1
processor       : 2
processor       : 3

worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000;

配置2:8 CPU (8 Core) + 8 worker_processes (每个worker_processes 使用1个CPU)

[reistlin@reistlin.com ~]$ cat /proc/cpuinfo | grep processor
processor       : 0
processor       : 1
processor       : 2
processor       : 3
processor       : 4
processor       : 5
processor       : 6
processor       : 7

worker_processes 8;
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;

配置3:16 CPU (16 Core) + 16 worker_processes (每个worker_processes 使用1个CPU)

[reistlin@reistlin.com ~]$ cat /proc/cpuinfo | grep processor
processor       : 0
processor       : 1
processor       : 2
processor       : 3
processor       : 4
processor       : 5
processor       : 6
processor       : 7
processor       : 8
processor       : 9
processor       : 10
processor       : 11
processor       : 12
processor       : 13
processor       : 14
processor       : 15

worker_processes 16;
worker_cpu_affinity 0000000000000001 0000000000000010 0000000000000100 0000000000001000 0000000000010000 0000000000100000 0000000001000000 0000000010000000 0000000100000000 0000001000000000 0000010000000000 0000100000000000 0001000000000000 0010000000000000 0100000000000000 1000000000000000;

[Perl] cpbak2 v1.0

作者:reistlin 发布时间:February 24, 2011 分类:原创文章

作者: reistlin
来源: http://www.reistlin.com/blog/174
更新时间: 2011.02
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

perl.gif

googlecode1.gifgooglecode2.gif
[https://reistlin.googlecode.com/svn/trunk/perl/cpbak2.pl]

阅读剩余部分...