小白误入(<<<绝没有针对>>>)企业级架构介绍与IP tables防火墙介绍

内容详细

• 架构图
  
  
  
  

架构图详解

架构:
	把一个整体（完成人类生存的所有工作）切分成不同的部分（分工），由不同角色来完成这些分工，并通过建立不同部分相互沟通的机制，使得这些部分能够有机的结合为一个整体，并完成这个整体所需要的所有活动，这就是架构

1.用户需求
	用户带着域名提交访问请求

2.DNS
	通过DNS解析域名找到该域名对应IP返回

3.防火墙(iptables)
	也叫:包过滤防火墙
	iptables内置4个表，即filter表、nat表、mangle表和raw表 每个表都会有相应的链
	filter表 :	实现包过滤
	nat表    :	网络地址转换
	mangle表 :	包重构(修改)
	raw表    :	数据跟踪处理

4.负载均衡
	简单来说就是:
        其一是将大量的并发处理转发给后端多个节点处理 减少工作响应时间
        其二是将单个繁重的工作转发给后端多个节点处理 处理完再返回给负载均衡中心 再返回给用户

5.Web服务
	Web服务是一种被访问的服务程序，只有接受到互联网中其他主机发出的请求后才会响应，最终用于提供服务程序的web服务器会通过HTTP（超文本传输协议）或HTTPS（安全超文本传输协议）把请求的内容传送给用户

6.缓存(cache)
	作用是:
		为了更好的利用局部性原理，减少CPU访问主存的次数，加快处理速度

	简单地说:
		CPU正在访问的指令和数据，其可能会被以后多次访问到，或者是该指令和数据附近的内存区域，也可能会被多次访问。因此，第一次访问这一块区域时，将其复制到cache中，以后访问该区域的指令或者数据时，就不用再从主存中取出

7.数据库(MySQL)
	以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合

8.静态文件(NFS)
	指不是由服务器生成的文件，例如脚本，CSS文件，图像等，但是必须在请求时发送给浏览器

9.跳板机(jumpserver)
	跳板机是运维堡垒主机的另个称呼
	企业为了服务器安全，所有的ssh连接都通过跳板机完成，以便于对ssh连接验证和管理

10.监控(prometheus)
	指对数据中心的监控，主要针对数据中心内的硬件和软件进行监控和告警

	企业的 IT 架构逐步从传统的物理服务器，迁移到以虚拟机为主导的 IaaS 云。无论基础架构如何调整，都离不开监控系统的支持

11.备份服务器(backup)
	备份服务器是一项定期执行的基本任务
	通过备份服务器数据，可以帮助防止数据丢失

防火墙简介

# 1.什么是防火墙
	指隔离在本地网络与外界网络之间的一道防御系统
	主要为了防止别人恶意访问

# 2.防火墙种类
	大类上可分为:
		硬件防火墙：专用的硬件或软硬件结合的实现 F5
		软件防火墙：基于普通PC或Server硬件上的通用操作系统加防火墙软件实现  iptables | firewalld
		安全组

	按照网络模型层次划分 防火墙可分为:
		传统的包过滤器 Traditional packet filters
		过滤器通常与路由器相结合构建防火墙
		状态包过滤器 Stateful Packet filters
		应用层网关/代理 Application-Layer gateways/Proxy

• Iptables
  
  

包过滤防火墙

# 1.什么是包
	在数据传输过程，并不是一次性传输完成的；而是将数据分成若干个数据包，一点一点的传输

# 2.什么是包过滤防火墙
	过滤数据包的防火墙

# 3.包过滤防火墙如何实现
	通过系统安全框架，过滤数据包

Iptables的四表五链

'四表五链'其实是对用户设置规则的管理，是看待用户设置的规则的两个维度

# 1.四个表 作用
	filter :	负责做过滤功能	INPUT、OUTPUT、FORWARD
	nat    :	网络地址转换	PREROUTING、INPUT、OUTPUT、POSTROUTING
	mangle :	负责修改数据包内容 PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
	raw    :	负责数据包跟踪	PREROUTING、OUTPUT

# 2.五条链 运行在什么地方
	PREROUTING
	INPUT
	OUTPUT
	FORWARD
	POSTROUTING

	01.PREROUTING
		主机外报文进入位置，允许的表mangle, nat（目标地址转换，把本机地址转换为真正的目标机地址，通常指响应报文）

	02.INPUT
		报文进入本机用户空间位置，允许的表filter, mangle

	03.OUTPUT
		报文从本机用户空间出去的位置，允许filter, mangle, nat

	04.FOWARD
		报文经过路由并且发觉不是本机决定转发但还不知道从哪个网卡出去，允许filter, mangle

	05.POSTROUTING
		报文经过路由被转发出去，允许mangle，nat（源地址转换，把原始地址转换为转发主机出口网卡地址）

流入本机：PREROUTING  -->  INPUT  --> PROCESS(进程)
经过本机：PREROUTING  --> FORWARD --> POSTROUTING
从本机流出：PROCESS(进程) --> OUTPUT --> POSTROUTING

Iptables流程图

流入本机： A  	 ---> PREROUTING   --->  INPUT ---> B
流出本机：OUTPUT  ---> POSTROUTING  ---> B
经过本机： A 	 ---> OUTPUT ---> POSTROUTING | ---> PREROUTING ---> FORWARD  ---> POSTROUTING ---> C ---> PREROUTING ---> INPUT ---> B

filter :	INPUT 、OUTPUT 、FORWARD
nat    :	PREROUTING 、 OUTPUT、 POSTROUTING
raw    :	PREROUTING、 OUTPUT
mangle :	PREROUTING INPUT FORWARD OUTPUT POSTROUTING