Linux防火墙

目录

1.安全技术

2.防火墙的分类

按保护范围划分:

按实现方式划分:

按网络协议划分:

防火墙功能:

3.Linux防火墙基本认识

内核中数据包的传输过程

五链:

四表:

4.iptables实际操作

基本语法:

添加,查看规则表

如何设置白名单

老用户可以正常访问,不让新用户访问

禁止tcp80端口通过


1.安全技术

  • 入侵检测系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。
  • 入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。
  • 防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。
  • 广泛意义上的防水墙:防水墙(Waterwall),与防火墙相对,是一种防止内部信息泄漏的安全产品。 网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径,在事前、事 中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

2.防火墙的分类

按保护范围划分:

  • 主机防火墙:服务范围为当前一台主机
  • 网络防火墙:服务范围为防火墙一侧的局域网

按实现方式划分:

  • 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为, 山石hillstone,天融信,启明星辰,绿盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen(Juniper2004年40亿美元收购)等
  • 软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙 ISA --> Forefront

按网络协议划分:

  • 网络层防火墙:OSI模型下四层,又称为包过滤防火墙
  • 应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层
  • 正向代理:代理的是客户端(绕开防火墙限制,加快访问速度)
  • 反向代理:代理的是服务端

防火墙功能:

  • 收包---拆包---检查没问题---装包
  • 收包---拆包---检查有问题---隔离或丢弃

3.Linux防火墙基本认识

  • Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中

内核中数据包的传输过程

  • 1.当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要传送出去
  • 2.如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链,数据包到达INPUT链之后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达
  • 3.如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出

五链:

  • pre_routing:路由选择前
  • post_routing:路由选择后
  • input:进入本机
  • output:出本机
  • forward:转发

四表:

  • raw表:确定是否对该数据包进行状态跟踪
  • mangle表:为数据包设置标记
  • nat表:修改数据包中的源,目标IP地址或端口
  • filter表:确定是否方向该数据包

4.iptables实际操作

基本语法:

bash 复制代码
iptables -t 指定表 子命令 指定链 规制
//例
iptables -t filter -A INPUT -s 192.168.88.40 -j DROP

管理选项

  • -A:在指定链末尾追加一条
  • -I:在指定链插入一条新的
  • -P:指定默认规则
  • -D:删除
  • -R:修改,替换某一条规则
  • -F:清除链中所有规则
  • -N:新加自定义链
  • -X:清空自定义链的规则,不影响其他链
  • -Z:清空链的计数器
  • -S:看链的所有规则

规则选项

  • -s:源地址
  • -d:目的地址
  • -p:tcp udp icmp协议
  • -i:进口网卡
  • -o:出口网卡
  • --sport:源端口
  • --dport:目标端口

跳转选项

  • DPOR:丢弃
  • REJECT:拒绝
  • ACCEPT:允许

添加,查看规则表

bash 复制代码
iptables -vnL        //查看规则表 v详细 n数字化 L(大写)防火墙列表

如何设置白名单

老用户可以正常访问,不让新用户访问

禁止tcp80端口通过

相关推荐
starstarzz23 分钟前
计算机网络实验四:Cisco交换机配置VLAN
网络·计算机网络·智能路由器·vlan·虚拟局域网
网安墨雨2 小时前
常用网络协议
网络·网络协议
Tlzns2 小时前
Linux网络——UDP的运用
linux·网络·udp
黑客老陈2 小时前
新手小白如何挖掘cnvd通用漏洞之存储xss漏洞(利用xss钓鱼)
运维·服务器·前端·网络·安全·web3·xss
HSunR4 小时前
计算机网络
网络·计算机网络
ZoeLandia4 小时前
WebSocket | 背景 概念 原理 使用 优缺点及适用场景
网络·websocket·网络协议
南七澄江4 小时前
各种网站(学习资源及其他)
开发语言·网络·python·深度学习·学习·机器学习·ai
gywl10 小时前
openEuler VM虚拟机操作(期末考试)
linux·服务器·网络·windows·http·centos
WTT001111 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
杨德杰12 小时前
QT网络(一):主机信息查询
网络·qt