建设网站东莞公司,大气简洁网站,南阳网站制作,做网站的编程语言防火墙具有隔离功能
主要部署在网络边缘或者主机边缘#xff0c;防火墙的主要作用是决定哪些数据可以被外网访问#xff0c;哪些数据可以进入内网访问
网络层#xff08;路由器#xff09;#xff1a;数据的转发 安全技术
1.入侵监测系统#xff1a;在检测到威胁…防火墙具有隔离功能
主要部署在网络边缘或者主机边缘防火墙的主要作用是决定哪些数据可以被外网访问哪些数据可以进入内网访问
网络层路由器数据的转发 安全技术
1.入侵监测系统在检测到威胁木马、病毒后不会阻断网络访问只会在事后提供报警和监督
2.入侵防御系统在检测到威胁后会立即进行阻断主动保护网络安全以透明模式工作一般都是用 在线部署 的方式
现有的防火墙大多都是上述二者的结合体
防水墙waterwall用于防止内部信息外泄 防火墙的类型
软件防火墙iptables、火绒等杀毒软件
硬件防火墙路由器、交换机、三层交换机 保护范围
1.主机防火墙服务范围就是当前自己的主机
2.网络防火墙是数据传输的必经之路
实现方式
1.硬件防火墙既有专业的硬件来实现防火墙功能也有软件进行配合
2.软件防火墙通过代码实现判断
运营商会过滤掉了绝大多数威胁
网络层协议划分
网络层包 过滤防火墙
应用层代理服务器设置数据的进出
linux防火墙
firewalld 从centos7开始自带的
iptables 包过滤防火墙
selinux 自带的安全工具
集成在一个内核中netfilter组件
iptables 包过滤防火墙
工作在网络层针对数据包进行过滤和限制
iptables属于用户态
netfilter属于内核态
过滤数据包IP地址、端口、协议tcp都可以在iptables中进行配置可以限制也可以放行 iptables的构成和工作机制
iptables的组成部分***四表五链
selinux也是一个表不过不在讨论范围内 四表
raw 链接跟踪机制加快封包穿过防火墙的速度数据包跟踪
mangle 数据标记
nat 地址转换表
filter 过滤规则表根据规则来定义或者过滤符合条件的数据包filter也是默认使用的表四表的优先级
security——raw——mangle——nat——filter 五链
INPUT 处理数据包进入本机的规则
OUTPUT 处理数据爆发出的规则一般不做处理
PREROUTING 处理数据包进入的规则
POSTROUTING 处理数据包离开本机之后的规则结合地址转换使用
FORWARD 处理数据转发规则iptables的规则
表里面有链链里面有规则规则就是我们定义的对于数据包的控制命令
匹配顺序
1.根据表的优先级匹配在表中从上到下进行检查找到匹配规则立即停止不在表中向下继续查找如果匹配不到规则按照链的默认规则进行处理 2.报文流向
流入本机prerouting——input——用户进程httpd服务——请求访问——响应——数据返回用户
流出本机httpd——响应——output——postrouting地址转换——返回用户
转发数据包经过时肯定不在同一网段路由转发——forward——数据包出去不允许转发数据包直接丢弃
iptables的命令格式
iptables [ -t 表名 ] 不指定表名默认都是filter表管理选项 [链名] [匹配条件] [-j 控制类型]
管理选项
-A 表示在链的末尾追加一条添加
-I 在链中插入一条新的规则可以指定序号-I后跟数字表示序号
-P 修改链的默认策略
-D 删除
-R 修改、替换规则
-L 查看链中的规则一般和vn结合使用-vnLv 显示详细信息n 把规则以数字形式进行展示
-F 清空链中的所有规则慎用
匹配条件
-p 指定匹配数据包的协议类型
-s 指定匹配数据包的源IP地址
-d 指定匹配数据包的目的IP地址
-i 指定数据包进入本机的网络接口
-o 指定数据包离开本机使用的网络接口
--sport 指定源端口号
--dport 指定目的端口号
控制类型
ACCEPT 允许数据包通过
DROP 拒绝直接丢弃数据包而且不给出任何信息回应
REJECT 拒绝但会回应相应的信息
SNET 修改数据包的源IP地址
DNET 修改数据包的目的地址iptables -vnL 不指定查看默认查看filter表
iptables -t nat -vnL 指定查看nat表
特点即配即用书序执行匹配到则输出结果并直接结束
iptables -vnL --line-number 给策略添加序号
指定多个IP地址时用逗号隔开
端口号写在协议后面
IP要写在协议前面
修改规则一般不用一般使用删除和添加
在生产中iptables所有的链的默认规则都是DROP 通用匹配
网络协议、端口、IP地址
例整个网段禁止访问80端口服务 隐藏扩展模块
-p 指定协议时tcp、udp指明了是什么协议就不需要再用-m指明扩展模块
指定多端口可以用冒号的形式minmax也可以使用-m隐藏模块来实现
-m 可以用明确的形式指出类型多端口、Mac地址、IP地址、数据包的状态-m multiport 指定多端口端口号之间用逗号隔开-m multiport --dport -m multiport --sport
IP范围-m iprange --src-range -m iprange--dst-rangemac地址
