目录
1.安全技术
- 入侵检测系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。
- 入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。
- 防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。
- 广泛意义上的防水墙:防水墙(Waterwall),与防火墙相对,是一种防止内部信息泄漏的安全产品。 网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径,在事前、事 中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。
2.防火墙的分类
按保护范围划分:
- 主机防火墙:服务范围为当前一台主机
- 网络防火墙:服务范围为防火墙一侧的局域网
按实现方式划分:
- 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为, 山石hillstone,天融信,启明星辰,绿盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen(Juniper2004年40亿美元收购)等
- 软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙 ISA --> Forefront
按网络协议划分:
- 网络层防火墙:OSI模型下四层,又称为包过滤防火墙
- 应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层
- 正向代理:代理的是客户端(绕开防火墙限制,加快访问速度)
- 反向代理:代理的是服务端
防火墙功能:
- 收包---拆包---检查没问题---装包
- 收包---拆包---检查有问题---隔离或丢弃
3.Linux防火墙基本认识
- Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中
内核中数据包的传输过程
- 1.当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要传送出去
- 2.如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链,数据包到达INPUT链之后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达
- 3.如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出
五链:
- pre_routing:路由选择前
- post_routing:路由选择后
- input:进入本机
- output:出本机
- forward:转发
四表:
- raw表:确定是否对该数据包进行状态跟踪
- mangle表:为数据包设置标记
- nat表:修改数据包中的源,目标IP地址或端口
- filter表:确定是否方向该数据包
4.iptables实际操作
基本语法:
bash
iptables -t 指定表 子命令 指定链 规制
//例
iptables -t filter -A INPUT -s 192.168.88.40 -j DROP
管理选项
- -A:在指定链末尾追加一条
- -I:在指定链插入一条新的
- -P:指定默认规则
- -D:删除
- -R:修改,替换某一条规则
- -F:清除链中所有规则
- -N:新加自定义链
- -X:清空自定义链的规则,不影响其他链
- -Z:清空链的计数器
- -S:看链的所有规则
规则选项
- -s:源地址
- -d:目的地址
- -p:tcp udp icmp协议
- -i:进口网卡
- -o:出口网卡
- --sport:源端口
- --dport:目标端口
跳转选项
- DPOR:丢弃
- REJECT:拒绝
- ACCEPT:允许
添加,查看规则表
bash
iptables -vnL //查看规则表 v详细 n数字化 L(大写)防火墙列表