和平网站建设公司,vs2008不能新建网站,企业微信网站建设方案,公司内部自己做抽奖网站一.网络安全技术 ①入侵检测系统#xff08;Intrusion Detection Systems#xff09;#xff1a;特点是不阻断任何网络访问#xff0c;量化、定位来自内外网络的威胁情况#xff0c;主要以提供报警和事后监督为主#xff0c;提供有针对性的指导措施和安全决策依据,类 似于…一.网络安全技术 ①入侵检测系统Intrusion Detection Systems特点是不阻断任何网络访问量化、定位来自内外网络的威胁情况主要以提供报警和事后监督为主提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署默默的看着你方式。 ②入侵防御系统Intrusion Prevention System以透明模式工作分析数据包的内容如溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断在判定为攻击行为后立即予以 阻断主动而有效的保护网络的安全一般采用在线部署方式。 ③防火墙 FireWall 隔离功能工作在网络或主机边缘对进出网络或主机的数据包基于一定的规则检查并在匹配某规则时由规则定义的行为进行处理的一组功能的组件基本上的实现都是默 认情况下关闭所有的通过型访问只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。 二.防火墙
2.1.防火墙分类 ①按保护范围划分 主机防火墙服务范围为当前一台主机。 网络防火墙服务范围为防火墙一侧的局域网。 ②按实现方式划分 硬件防火墙在专用硬件级别实现部分功能的防火墙另一个部分功能基于软件实现华为、深信服等。 软件防火墙运行于通用硬件平台之上的防火墙的应用软件Windows 防火墙 ISA -- Forefront。 ③按网络协议划分 包过滤防火墙只对osi模型下四层生效速度快拆包少。 网络层防火墙OSI模型下四层又称为包过滤防火墙。 应用层防火墙/代理服务器proxy 代理网关OSI模型七层。 硬件防⽕墙通过硬件和软件的组合基于硬件的防⽕墙保护整个内部网络安全。软件防⽕墙通过纯软件单独使⽤软件系统来完成防⽕墙功能保护安装它的系统。 Linux系统自带的软件防火墙 iptablesCentos 5/6 系统默认防火墙firewalldCentos 7/8 系统默认防火墙 2.2.iptables四表五链 由软件包iptables提供的命令行工具。 工作在用户空间用来编写规则写好的规则被送往netfilter告诉内核如何去处理信息包。 netfilter/iptables关系 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态”内核空间 是内核的一部分由一些数据包过滤表组成这些表包含内核用来控制数据包过滤处理的规则集。 iptables 位于/sbin/iptables 用来管理防火墙规则的工具称为Linux防火墙的“用户态” 它使插入、修改和删除数据包过滤表中的规则变得容易 IPtable和netfilter共同组成了一个防火墙系统iptables只是Linux防火墙的管理工具——命令行工具或者也可以说是一个客户端的代理netfilter是安全框架并且真正实现防火墙功能的是 netfilter它是Linux内核中的一部分。这两部分共同组成了包过滤防火墙并且是免费使用可以实现完成封包过滤、封包重定向和网络地址转换NAT等功能。 netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后立即生效不需要重启服务。 firewalld和iptables Firewalld和Iptables都不是防火墙是防火墙管理工具被称为防火墙的“用户态”。 Centos 7中默认管理防火墙规则的工具是firewalld。 因为iptables是开源的就安全系数来讲软件防火墙只能用于辅助硬件防火墙无法做到真正的安全效果。此外软件防火墙也是需要占用硬件资源运行 #查看有没有安装
iptables --version 五表security表、raw表、mangle表、nat表、filter表 五表的优先级高-低security --raw--mangle--nat--filter 五链INPUT链、OUTPUT链、FORWARD链、POSTROUTING链、PREROUTING链 规则表的作用容纳各种规则链。 规则链的作用:容纳各种防火墙规则,对数据包进行过滤或处理。 链的分类依据:处理数据包的不同时机。 总结:表里有链链里有规则 五表 五链 规则链之间的匹配顺序 入站数据来自外界的数据包且目标地址是防火墙本机∶ PREROUTING -- INPUT -- 本机的应用程序 出站数据从防火墙本机向外部地址发送的数据包∶ 本机的应用程序 -- OUTPUT -- POSTROUTING网络型防火墙∶ 转发数据需要经过防火墙转发的数据包∶ PREROUTING -- FORWARD -- POSTROUTING 规则链内的匹配顺序 自上向下按顺序依次进行检查找到相匹配的规则即停 止 LoG策略例外 表示记录相关日志若在该链内找不到相匹配的规则则按该链的默认策略处理未修改的状况下默认策略为允许 三种报文流向 流入本机PREROUTING -- INPUT--用户空间进程 流出本机用户空间进程 --OUTPUT-- POSTROUTING 转发PREROUTING -- FORWARD -- POSTROUTING 注意在设置iptables设置时将iptables的默认值设置为ACCEPT设置成DROP或REJECT在清空iptables的所有规则时会出现远程无法连接的问题 。 2.3.黑白名单
iptables默认设置是黑名单设置
黑名单默认全部允许通过添加谁才不允许谁通过。 白名单默认全部不允许通过添加谁允许谁通过。 在白名单中添加一条允许规则 2.4.iptables基本语法
iptables [-t 规则表] 管理选项 [规则链] [匹配条件] [-j 处理动作]iptables -t filter -A INPUT -s 192.168.47.3 - DROP
管理选项 用法示例-A向规则链中添加一条规则在末尾追加iptables -A INPUT 操作-I在规则链的指定位置插入一条规则未指定序号默认作为第一条 iptables -I INPUT 操作-F清除链中所有规则【 iptables -F 操作】-P设置规则链的默认策略指定默认规则 iptables -P OUTPUT ACCEPT 操作-D从规则链中删除一条规则删除 iptables -t nat -D INPUT 2 操作-R替换规则链中的一条规则修改、替换某一条规则 iptables -t nat -R INPUT 操作-L列出规则链中的所有规则查看 iptables -t nat -L 【查看】-n所有字段以数字形式显示比如任意ip地址是0.0.0.0而不是anywhere比如显示协议端口号而不是服务名 iptables -L -n,iptables -nL,iptables -vnL 查看-v查看时显示更详细信息常跟-L一起使用 查看- -line-number 查看规则编号iptables -t nat -L -n --line-number /iptables -t nat -L --line-number-N创建一个新的自定义规则链-X清空删除自定义链的规则不影响其他链 iptables -X-Z清空规则链中所有规则的数据包和字节数统计iptables -Z-S看链的所有规则或者某个链的规则/某个具体规则后面跟编号
#允许来自192.168.1.0/24子网的数据包进入INPUT链
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT#删除允许来自192.168.1.0/24子网的数据包进入INPUT链的规则
iptables -D INPUT -s 192.168.1.0/24 -j ACCEPT#在INPUT链的第2条规则之前插入一条允许来自192.168.1.0/24子网的数据包进入的规则
iptables -I INPUT 2 -s 192.168.1.0/24 -j ACCEPT#将INPUT链中的第2条规则替换为拒绝来自192.168.1.0/24子网的数据包的规则
iptables -R INPUT 2 -s 192.168.1.0/24 -j DROP#列出INPUT链中的所有规则
iptables -L INPUT#清空INPUT链中的所有规则
iptables -F INPUT#清空INPUT链的数据包和字节数统计
iptables -Z INPUT#将INPUT链的默认策略设置为DROP即拒绝所有数据包
iptables -P INPUT DROP#将FORWARD链重命名为NFORWARD
iptables -E FORWARD NFORWARD#创建一个名为MYCHAIN的新规则链
iptables -N MYCHAIN#删除名为MYCHAIN的自定义规则链
iptables -X MYCHAIN
指定匹配条件的选项 功能-p 指定要匹配的 协议类型例如TCP、UDP、ICMP等-s指定 源IP地址或地址范围-d 指定 目标IP地址或地址范围-i 网络接口 指定 输入网络接口-o 网络接口 指定 输出网络接口-m 指定 扩展模块用于进一步定义匹配条件- -icmp-type指定ICMP类型- -sport 指定源端口号或端口范围- - dport 指定目标端口号或端口 控制类型 作用 DROP直接丢弃数据包不给出任何回应信息REJECT拒绝数据包通过会给数据发送端一个响应息ACCEPT允许数据包通过(默认)SNAT修改数据包的源地址源地址转换DNAT 修改数据包的目的地址目的地址转换LOG 在/var/log/messages文件中记录日志信息然后将数据包传递给下一条规则 MASQUERADE 伪装成一个非固定公网IP地址 LOG只是一种辅助动作并没有真正处理数据包
控制类型需要使用 -j 跳转到某类型处理数据包。
2.5.查看规则
iptables -vnL #查看所有规则表的规则-v 详细信息
-n 数字形式显示
-L 查看规则列表 iptables -vnL -t [规则表] #查看规则表的规则链默认filter表 2.6.添加规则、删除、清空、替换规则
查看规则编号 查看已有的防火墙规则时使用管理选项“-L”结合“--line-numbers”选项还可显示各条规则在链内的顺序号。例如若要查看 filter 表 INPUT 链中的所有规则并显示规则序号 可以执行以下操作 iptables [-t表名] -n -L [链名] |[-- line-numbers] 或 iptables - [vn]L #注意:不可以合写为-Ln iptables -vnL --line-numbers #查看规则编号 添加 添加规则的两个常用选项 -A在末尾追加规则。 -I在指定位置前插入规则。如果不指定则在首行插入。 添加新的防火墙规则时使用管理选项“-A”、“-I”前者用来追加规则后者用来插入规则。 例如若要在 filter 表 INPUT 链的末尾添加一条防火墙规则可以执行以下操作其中 “-p 协议名”作为匹配条件。如果仅仅只需要清空一条链的规则还要保存其他链的规则就要指定链来清除-t 例子 iptables -t filter -A INPUT -p icmp -j REJECT或DROP或ACCEPT //不允许任何主机ping本主机 iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT //允许主机ssh端口 通过我的主机 其他 iptables -t filter -A INPUT -p tcp -j ACCEPT //允许任何主机tcp iptables -I INPUT -p udp -j ACCEPT //允许任何主机udp 替换 iptables -R 规则链 规则编号 新规则 iptables -R INPUT 3 -p tcp --dport 22 -j ACCEPT #替换INPUT链中第3条规则将其内容改为允许TCP协议的SSH流量端口22通过 iptables -A INPUT -s 192.168.91.101 -j DROP iptables -R INPUT 1 -s 192.168.91.101 -j ACCEPT iptables -D INPUT 5 iptables -L INPUT --line-numbers iptables -t filter -D INPUT -p icmp - j REJECT 删除 iptables -D 规则链 要删除的规则 或者 iptables -D 规则链 n #n为规则编号 清空 iptables -F #清空除默认策略外的所有规则 清空指定链或表中的所有防火墙规则使用管理选项“-F”。例如若要清空 filter 表 INPUT 链中的所有规则可以执行以下操作。 主意: 1.若规则列表中有多条相同的规则时按内容匹配只删除的序号最小的一条 2.按号码匹配删除时确保规则号码小于等于已有规则数否则报错 3.按内容匹配删数时确保规则存在否则报错 2.9.默认策略 默认策略是指当没有明确的匹配规则时iptables 对进出系统的网络流量采取的默认处理方式。 有3种基本的默认策略ACCEPT、DROP 和 REJECT。 ACCEPT允许所有的数据包通过防火墙。 DROP阻止所有的数据包通过防火墙。 REJECT默认策略为 REJECT 与 DROP 类似阻止所有的数据包通过防火墙。但不同的是当数据包被拦截时会向源主机发送一个拒绝响应消息。 查看
iptables -L #查看当前 iptables 的默认策略配置默认策略
iptables -P INPUT 策略
iptables -P OUTPUT 策略
iptables -P FORWARD 策略INPUT 是针对进入系统的数据包
OUTPUT 是针对离开系统的数据包
FORWARD 是针对通过系统的数据包
策略可以是 ACCEPT、DROP 或 REJECT# 允许SSH进入
iptables -A INPUT -p tcp --dport 22 -j ACCEPT# 允许HTTP和HTTPS流量
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT清空和删除
无法直接清空或者删除默认策略iptables -F也不行。只能将ACCEPT改成DROP/REJECT或者反过来某种意义上也等同于删除
2.10.隐藏扩展模块 iptables在使用-p 指定协议时若指明特定协议后就无须再使用-m指明扩展模块的扩展机制例如若已经指明是 -p tcp 协议则使用--dport及--sport等tcp模块内容时即可省略-m tcp。 man iptables-extensions #查看扩展帮助 端口匹配 --sport和--dport 必须配合-p 协议类型使用 只能用于匹配连续的端口 --sport 源端口 --dport 目的端口 可以匹配单个端口也可以匹配端口范围以源端口匹配为例
格式含义–sport 1000匹配源端口是1000的数据包–sport 1000:3000匹配源端口是1000-3000的数据包–sport 1000:匹配源端口是1000及以上的数据包–sport :3000匹配源端口是3000及以下的数据包
TCP模块 --tcp-flags TCP标志TCP标志功能SYN同步用于建立连接。ACK确认用于确认收到的数据。FIN结束用于关闭连接。RST复位用于重置连接。URG紧急用于指示数据中有紧急数据部分。PSH推送用于强制接收方立即处理数据。
iptables允许通过来自ens33接口的,具有FIN、RST、ACK和SYN标志的TCP包
只有SYN标志的TCP包,拒绝建立连接iptables -I INPUT -i ens33 -p tcp \--tcp-flags FIN,RST,ACK SYN -j ACCEPT--sport 指明源端口使用格式 --sport 端口或 端口1端口2(端口1到端口2的连续端口范围指定)。 --dport 指明目的端口使用格式 --dport 端口或 端口1端口2(端口1到端口2的连续端口范围指定)。 ICMP模块
--icmp -type 0/3/8 代码含义8“Echo- Request” 表示请求0“Echo- Reply” 表示回复3Dest ination-Unreachable表示目标不可达 #丢弃icmp的包别人ping不通本机本机也ping不通别人 iptables -A INPUT -p icmp -j DROP #禁止其他主机ping本机 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #当本机ping不通其它主机时提示目标不可达此时其它主机需要配置关于icmp协议的控制类型为REJECT iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT --icmp-type 指定icmp的type值制定规则。type值Echo- Request (代码为8)、表示请求 Echo- Reply (代码为0)表示回复 、Dest ination-Unreachable (代码为3)表示目标不可达。 例如设置自己可以ping其他机器但是不允许其他机器ping自己。 2.11.显示扩展模块 扩展模块使用格式 -m {模块名} [选项] multiport模块 multiport扩展 多端口 可用于匹配非连续的端口以离散的方式匹配最多支持15个端口。 iptables -A INPUT -s 192.168.2.101 -p tcp -m \ multiport --dports 22,80,3306 -j REJECT #拒绝来自源IP地址为192.168.2.101的TCP流量并且目标端口号为22、80和3306 --sports 端口1端口2 ,等 使用隔开最多指定15个不连续端口 --dports 端口1端口2 ,等 使用隔开最多指定15个不连续端口。 iprange模块 iprange扩展功能模块用于在防火墙规则中匹配特定的IP地址范围。 基本格式 -m iprange --src-range IP范围 iptables -A INPUT -m ip range --src-range 192.168.91.101-192.168.91.103 -j REJECT # 拒绝来自源IP地址范围为192.168.91.101到192.168.91.103的所有流量并且应用于INPUT链也就是进入服务器的流量 iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP #禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包 iprange模块可以指定连续的(一般不是整个网络)ip地址范围。
--src-range 源地址范围或 目的地址范围例如10.0.0.0-10.0.0.15。
--dst-range 源地址范围或 目的地址范围例如10.0.0.0-10.0.0.15。
mac地址模块 mac模块用于匹配和处理MAC地址相关的防火墙规则可以限制特定MAC地址的访问或过滤特定MAC地址的流量。 基本格式 -m mac --mac-source XX:XX:XX:XX:XX:XX #根据源MAC地址匹配 -m mac --mac-destination XX:XX:XX:XX:XX:XX#根据目标MAC地址匹配 指明源MAC地址适用INPUT链PREOUTINGPOSTROUTING链。 --mac-source 源mac地址只能指定源mac地址。 string字符串模块 string模块用于在数据包的内容中搜索指定的字符串并根据匹配结果执行相应的操作。 基本格式 -m string --string 字符串 --algo bm/kmp #bm kmp为字符串检测算法 iptables -A INPUT -p tcp --dport 80 -m string --string example --algo bm -j DROP #对于目标端口为80的TCP流量在数据包的内容中搜索字符串example #如果匹配成功则使用DROP动作丢弃该数据包 可以使用string模块指定字符串范围。 --from offset 字符串开始查询的地方。 --to offset 字符串结束查询的地方 。 例如iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62 --string bilibili -j REJECT connlimit模块 connlimit扩展模块用于限制连接数量根据活动连接数量的条件来控制数据包的流动。 基本格式 -m connlimit --connlimit-匹配选项 匹配条件 匹配选项功能above n指定连接数量超过n个时触发匹配upto n指定连接数量小于n个时触发匹配equal n指定连接数量等于n个时触发匹配maks指定连接数量的掩码来匹配连接数量 iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT #对于TCP协议、目标端口为80的数据包如果活动连接的数量超过10个则拒绝该连接 iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 5 --connlimit-mask 16 -j REJECT #对于TCP协议、目标端口为22SSH的数据包 #如果同一子网的连接数量超过5个拒绝连接 据每客户端IP做并发连接数数量匹配可防止Dos(Denial of Service拒绝服务)攻击。 --connlimit-upto N #连接的数量小于等于N时匹配 --connlimit-above N #连接的数量大于N时匹配 例如iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 2 -j REJECT time模块 time模块用于根据时间条件匹配数据包可以限制特定时间段内进出防火墙的数据包。 基本格式 -m time --匹配选项 匹配条件 匹配选项含义- -timestart指定开始时间- -timestop指定结束时间- -datestart指定开始日期- -datestop指定结束日期- -daysMon-Fri iptables -A INPUT -m time --timestart 08:00 --timestop 17:00 \ --datestart 2023-08-01 --datestop 2023-08-31 --days Mon-Fri -j ACCEPT #在2023年8月1日至2023年8月31日期间的每个工作日的08:00至17:00之间接受(ACCEPT)输入的数据 #如果不在指定的日期和时间范围内或不是工作日则不匹配该规则 stat模块 state模块用于匹配连接的状态根据连接的状态来过滤数据包。 基本格式 --state state 连接状态 常见连接状态 含义 NEW 与任何连接无关的还没开始连接 ESTABLISHED 响应请求或者已建立连接的连接态 RELATED 与已有连接有相关性的(如FTP主被动模式的数据连接)衍生态一般与ESTABLISHED 配合使用 INVALID 不能被识别属于哪个连接或没有任何状态 UNTRACKED 未进行追踪的连接如raw表中关闭追踪 iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT #对于输入的数据包如果连接状态是NEW新建连接或ESTABLISHED已建立连接允许该数据包通过 stat模块可以根据连接状态控制数据包。 NEW新发出的请求第一次发出的请求。 ESTABLISHEDnew之后的正常连接状态。 例如ipatables -A INPUT -m state --state NEW -j REJECT ipatables -A INPUT -m state --state ESTABLISHED -j ACCEPT 控制流量模块 limit控制流量模块可以控制通过的包数以及每分钟或每小时通过的包数。 --limit 10/minute(1分钟之内只允许10个包通过) --limit-burs 数字 例如 --limit-burst 5(允许通过前5个包5个包不受影响) 三.iptables保存规则 将写好的规则导入一个文件中 iptables-save 文件名。 永久保存保存规则的文件重新写入 iptables-restore 保存规则的文件名。 四.自定义链使用 ①自定义链添加iptables -N web(链名) 创建链 ②自定义链改名iptabels -E web(原来名称) (新名称) 自定义链改名 ③创建自定义链规则iptables -t filter -I web -p icmp -j REJECT 创建自定义规则,iptables的链中添加一条对应到自定义链中才能生效 ④iptabales创建对应链规则然后跳转自定义链webiptables -t filter -I INPUT -p icmp -j web ⑤删除自定义规则链先删除iptables INPUT链中的对应关系然后删除自定义链中的规则。
