linux的安全技术和防火墙

一、安全技术

1.入侵检测系统：特点式不阻断网络访问，主要式提供报警和事后监督，不主动介入，默默的看着你（相当于360安全卫士）

2.入侵防御系统：透明模式工作，对数据包，网络监控，服务攻击，木马，蠕虫，系统漏洞等等进行准确的分析和判断，在判定为攻击行为后立即阻断，主动的防御（所有的数据在进入本机之前，必须要通过的设备或者软件）

二、防火墙：作用是隔离，工作在网络或者主机的边缘，对网络或者主机的数据包基于一定的规则进行检查，匹配到的规则，要么放行，要么拒绝（拒绝就就是把数据包丢弃），只开放允许访问的策略（白名单机制，拒绝所有，允许个别）。

**三、防水墙：**透明模式工作，华为的ensp监控就是防水墙。一切对于防水墙来说都是透明的。可以在事前、事中、事后都可以进行检测。

四、防火墙：

1.iptables：这个是linux自带的防火墙，一般用于内部配置，工作在网络层，针对数据包实施过滤和限制，是包过滤防火墙，对外一般不适用（对外都使用专业的）；iptable的过滤规则就是由内核态来进行控制。

2.firewald ：这个也是Linux自带的防火墙，centos7以后默认的防火墙，也是包过滤防火墙；作用是网络层对数据包进行选择，选择的依据是防火墙设置的策略，策略包括：IP地址，端口，协议；优点是处理速度块，容易维护；缺点是无法检查应用层数据，病毒无法进行处理。

3.应用层防火墙：在应用层对数据进行检查，比较安全；优点是更加安全，问题定位精准；缺点是所有数据都会检查，会增加防火墙的负载。

五、通信的五大要素：源ip和目的ip

源端口和目的端口

协议（tcp/upd）

通信的四大要素：源ip和目的ip

源端口和目的端口

六、内核态和用户态：

内核态：设计到软件的底层代码或者是系统的基层逻辑，以及一些硬件的编码，开发人员更关注内核态；数据如果是内核态处理，速度相对较快。

用户态：应用层软件层面，认为控制的一系列操作，使用功能，运维人员只考虑用户态；数据通过用户态处理，速度是比较慢的。

七、iptables的配置和策略：四表五链（表里面有链，链里面有规则）

四表：

Raw表：控制数据的状态，跟踪数据包的状态。优先级最高

Mangle表：修改数据包的头部信息。

NAT表：网络地址转换，可以改变数据包的源地址和目的地址

filter表：也是iptables的默认表，不做声明，默认就是filter表，作用是过滤数据包，控制数据包的进出，以及接受和拒绝数据包。优先级最低。

五链：

PREROUTING链:处理数据包进入本机之前的规则（NAT表）

INPUT链：处理数据包进入本机的规则（filter表，是否允许数据包进入，拒绝的话数据包将直接丢弃）

output链：处理本机发出的数据包规则，或者是数据包离开的本机规则（filter表，一般不做设置，进来肯定会让其出去）

forward链：处理数据包转发到其它主机的规则，或者是允许本机进行数据包转发。

postrouting链：处理数据包离开本机之后的规则（NAT表）

优先级：

第一种跨网段数据包转发的情况

第二种情况：请求和响应的过程

八、iptables：

1.管理选项：在表的链中插入，增加，删除，查看规则。

-t : 指定表名+管理选项

-A ：在链中添加一条规则，在链尾添加

-I：指定位置插入一条规则

-P:指定默认规则，链的规则一般都是设置成拒绝

-D：删除规则

-R：修改规则（慎用）

-vnL：v显示详细信息，n以数字形式展示内容，L查看

--line-numbers：显示规则的编号，一般和查看一起使用

-F：清空链中的所有规则（慎用）

-X：清除自定义链中的规则

2.匹配条件：数据包的ip地址，端口，协议。

匹配原则：每个链中规则都是从上到下的顺序匹配，匹配到之后不再向下匹配

如果链中没有规则，则执行链的默认策略进行处理

-p：指定协议类型

-s:指定匹配的源ip地址

-d：指定匹配的目的ip地址

-i：指定数据包进入本机的网络设备（比如ens33）

-o:指定数据包离开本机的网络设备

--sport：指定原端口

--dport：指定目的端口

3.控制类型：允许，拒绝，丢弃。

-j ：后面跟上下面的控制类型

ACCEPT:允许数据包通过。

DROP：直接丢弃数据包，没有任何回应信息。

REJECT：拒绝数据包通过，数据包也会被丢弃，但是会有一个响应的信息。

SNAT：修改数据包的源地址。

DNAT：修改数据包的目的址。

4.注意事项：不指定表名，默认就是filter表

不指定链名，默认就是所有链（禁止行为）

除非设置了链的默认策略，否则必须执行匹配条件（一般都是指定匹配条件）

选项、链名和控制类型都是大写，其余的都是小写。

九、iptables的命令格式：

iptables [ -t 表名] 管理选项链名（大写）匹配条件 [ -j 控制类型]

十、隐藏扩展模块

-m：扩展模块，明确指定类型，多端口，Mac地址，IP范围。

如何指定多端口：

-m multiport --sport /--dport

iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j REJECT

指定IP地址的范围：

-m iprange --src-range 源IP范围

-m iprange --dst-range 目的IP范围

在20-50范围内的主机不允许ping主机

iptables -A INPUT -p icmp -m iprange --src-range 20.0.0.20-20.0.0.50 -j REJECT

十一、实验：

1.首先要关闭firewalld的防火墙：systemctl stop firewalld

关闭安全机制：setenforce 0

安装iptables防火墙：yum -y install iptables iptables-services

重启iptables防火墙：systemctl restart iptables

安装service：systemctl enable iptables.service

2.查看规则：iptables -L

iptables -vnL：以数字化的形式查看原则

查看iptables的行号 iptables -vnL --line-numbers

清空规则（不指定的话系统默认只清空的是filter表）：iptables -F

添加一条拒绝所有主机来ping本机的规则

插入一条允许所有主机都可以ping通本机的规则（当你直接添加一条允许规则是不会生效的，只能是插入，而且是要插入到第一条）

指定IP地址（拒绝IP20ping主机，允许IP30ping主机）

指定多个IP地址（一次拒绝多个IP地址ping主机）：多个IP要用逗号隔开，控制类型既可以是REJECT也可以是DROP。

DROP：直接丢弃数据包，没有任何回应信息。

REJECT：拒绝数据包通过，数据包也会被丢弃，但是会有一个响应的信息。

拒绝指定端口

--sport：指定原端口

--dport：指定目的端口

即拒绝IP也拒绝端口

拒绝主机访问本机的nginx

3.删除规则：根据序号删除即可

修改策略（一般不用）

5.修改链名的默认策略（工作中不用）：将默认的INPUT链的ACCEPT修改为DROP

6.如何指定网络设备

禁止IP192.168.127.20主机通过ens33的网卡来访问本机的80端口服务

7.备份和还原：iptables 的配置文件保存在 /etc/sysconfig/iptables，每次重启服务都会重新读取配置文件里的规则，也可以通过iptables-save把当前防火墙配置保存在文件中，每次需要读取这个配置时通过iptables-restore命令获取配置，这个获取配置也是临时生效。可以配合脚本在系统启动时自动加载配置。