#原理：物理安全是系统安全的关键基础
#应对风险：被盗窃、被破坏、自然灾害、人为错误导致的灾难、意外导致的损坏
#安全措施：服务器双电源、服务器使用独占机柜、独占机柜加锁；退出服务器的本地shell登录；规范化机房维护操作步骤；重要服务器必须和一般服务器隔离；定期评估物理安全措施和实施进度；交换机端口设置，放在不可信设备接入、防止恶意嗅探和ARP欺骗攻击；重要数据异地备份或异地同步

原理：服务器通过网络对外提供服务，网络层安全可减少被入侵的可能

#通过防火墙映射需提供外网服务的NAT策略，无需对外提供服务的服务器放行访问权限即可。
#服务器iptables限制网络访问
+ 允许icmp协议
+ 允许所有IP访问本机对外服务端口的服务
+ 允许本机访问本地DNS和公共DNS服务
+ 允许内网堡垒机ip、内网VPNip和办公固定IP访问本机sshd服务
+ 禁止其他任何通信

#！/bin/bash
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT #允许icmp协议,ping
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许所有IP访问80端口
iptables -A INPUT -p tcp -s 202.101.172.35 --sport 53 -j ACCEPT #允许访问DNS
iptables -A INPUT -p udp -s 202.101.172.35 --sport 53 -j ACCEPT #允许访问DNS
iptables -A INPUT -p tcp -s 114.114.114.114 --sport 53 -j ACCEPT #允许访问DNS
iptables -A INPUT -p udp -s 114.114.114.114 --sport 53 -j ACCEPT #允许访问DNS
iptables -A INPUT -p tcp -s 192.168.0.194 --dport 22 -j ACCEPT #限制对22端口的访问
iptables -A INPUT -p tcp -s 192.168.0.176 --dport 22 -j ACCEPT #限制对22端口的访问
iptables -A INPUT -p tcp -s 115.236.38.80 --dport 22 -j ACCEPT #限制对22端口的访问
iptables -A INPUT -j DROP #禁止其他任何通信
iptables -A FORWARD -j DROP #禁止转发

核心交换机配置内网ACL策略进行精细化限制网络访问，实例参考A段访问B段，但B段不能访问A段
参考链接：https://support.huawei.com/enterprise/zh/doc/EDOC1100127132/a506cef0

#使用nmap检查端口存活
nmap -sS 192.168.1.0 -p1-65535 --max-retries 1 --host-timeout 10m
# -sS指定TCP Syn方式探测
# -p1-65535指定端口范围
# --max-retries 1重试1次
# --host-timeout 10m该主机探测在10m完成，否则退出

包括对账号密码的保护、sshd的安全配置、web服务器安全、数据库安全等
密码安全
+ 及时修改默认密码
+ 测试账号不可过于简单
+ 密码符合一定复杂度要求 大小写、数字、位数达12位以上
+ 免密加密存储 
+ 定期更换密码 90天
+ 启用验证码
+ 定期密码检查如John the Ripper工具
+ 对外文档做好发布前涉敏感数据处理

#sshd配置，使用TCP Wrappers增加安全性
# 原理：先读取/etc/hosts.allow匹配即允许，后读取/etc/hosts.deny匹配即拒绝
echo "sshd:192.168.0.0/255.255.255.0" >> /etc/hosts.allow
echo "sshd:115.236.38.80/255.255.255.255" >> /etc/hosts.allow
echo "sshd:ALL" >> /etc/hosts.deny