1. 基于双宿主主机防火墙结构。将一个内部网络和外部网络分别连接在不同的网卡上,使内外网络不能直接通信。
2. 基于代理型防火墙结构。一台主机同外部网连接,该主机代理内部网和外部网的通信。
3. 基于屏蔽子网防火墙结构。在代理型结构中增加了一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。代理服务器主机与内网之间也加了一台过滤路由器保护。外面那个过滤路由器过滤外网对被屏蔽子网的访问,里面那个过滤被屏蔽子网对内部网络的访问。
黑名单安全策略:当链的默认策略为ACCEPT时,链中的规则对应的动作应该是DROP或者REJECT,表示只有匹配到的规则报文才会被拒绝,没有被规则匹配到的报文都会被默认接受。
白名单安全策略:当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到的规则报文才会被放行,没有被规则匹配到的报文都会被默认拒绝。
防火墙基本配置:
iptables中规则表优先顺序:mangle——修改数据包内容 nat——地址转换 filter——数据包过滤
filter默认包含input(入站数据包) forward(转发数据包) output(出站数据包)三条链
表里有链,链里有规则
防火墙位置:/etc/init.d/iptables start/stop/restart
基本参数:
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
* 管理选项、链名、控制类型使用大写字母,其余均为小写
-t:指定某一个规则表。默认的表为filter,例如iptables -L -t nat
管理选项:
-A: append 追加,在当前链的最后新增一个规则
-I:insert 插入新的规则
-D:delect 删除规则
-R:replace 修改、替换规则
-P:设置默认规则
-L:查看现有过滤规则,一般使用iptables -vnL可以显示更详细的信息
-F:刷新选定的链
-S:显示规则,相当于iptables-save
链名:
INPUT FORWARD OUTPUT
匹配条件:
-p: 用于匹配协议的 (这里的协议通常有3种,TCP/UDP/ICMP)
-s: 指定作为源地址匹配,这里不能指定主机名称,必须是IP
–sport: 源端口
-d: 表示匹配目标地址
–dport:目标端口
-i:接口流入
-o:接口流出
!:表示除了哪个IP之外
-j: 满足条件后的动作(Accept Reject Drop)
控制类型:
ACCEPT DROP REJECT 后两个区别在于是否会返回信息给用户
显示匹配:
多端口匹配: -m multiport --sport/–dport 端口列表
IP范围匹配: -m iprange --src-range IP范围
MAC地址匹配: -m mac --mac-source MAC地址
例如,
iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 23 -j DROP 关闭iptables防火墙23端口
iptables -L INPUT --line-numbers 查看filter表INPUT链中的所有规则并显示规则序号
iptables -D INPUT 2 删除第INPUT表中第二条规则
iptables -t filter -P FORWARD DROP ,forward链默认规则为丢弃,注意没有-j
iptables -A FORWARD ! -p icmp -j ACCEPT 允许转发除ICMP协议之外的数据包
iptables -A INPUT -i eth1 -s (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 )-j DROP 丢弃从外网接口(eth1)访问防火墙本机且源地址为私有地址的数据包
iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT 允许本机开放25、80、110、143端口
iptables -A FORWARD -p tcp -m iprange --src-range x-y -j ACCEPT 禁止转发源IP地址位于x与y之间的TCP数据包
iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP(MAC地址) 进制某台主机访问本机
网络审计数据保护技术:
系统用户分区管理、审计数据强制访问、审计数据加密、审计数据隐私保护、审计数据完整性保护、审计数据备份
代码静态分析:模式匹配、定理证明、模型检测
防止缓冲区溢出漏洞:
系统管理防范策略:关闭不必要的特权程序、及时打好系统补丁
软件开发防范策略:正确编写代码、缓冲区不可执行、改写C语言函数库、程序指针完整性检查、堆栈向高地址方向增长等
漏洞扫描:
主机漏洞扫描(基线配置核查系统):
COPS:检查UNIX系统的常见安全配置问题和系统缺陷。
Tiger:基于shell脚本的漏洞检测程序,用于UNIX系统的配置漏洞检查。
Microsoft Baseline Security Analyser(MBSA):Windows系统的安全基准分析工具。
网络漏洞扫描
专用漏洞扫描
IPV4中,字段标识最适合携带隐藏信息
SSL:
位于应用层和传输层之间,可以为任何基于tcp等可靠连接的应用协议提供安全保证。
握手协议:身份鉴别和安全参数协商,包含下面两个
密码规格变更协议:通知安全参数的变更
报警协议:关闭通知和对错误进行报警
记录协议:传输数据的分段、压缩及解压缩、加密及解密、完整性校验等
Stelnet是Secure Telnet的简称。在一个传统不安全的网络环境中,服务器通过对用户认证及双向的数据加密,为终端用户提供安全的Telnet服务。
SET协议是应用层的协议,是一种基于消息流的协议,一个基于可信的第三方认证中心的方案。SET改变了支付系统中各个参与者之间交互的方式,电子支付始于持卡人。
Http状态码:https://blog.csdn.net/WangYouJin321/article/details/123549958
1** ——告知请求的处理进度和情况
2** ——成功
3** ——请求重定向
4** ——客户端错误
5** ——服务端错误
协议对应端口号:
FTP-21(20数据连接,21控制连接)/SSH-22/Telnet-23/SMTP-25/DNS(udp)-53/web-80/POP3-110/SNMP-161/HTTPS-443/共享文件夹&打印机—445/RIP-520/MSSQL-1433/Oracle-1521/L2TP-1701/mysql-3306/远程桌面-3389/redis-6379
- ICMP是控制协议,没有端口号,在网络层。
入侵检测
模型CIDF由四个部分组成:
事件产生器一从网络环境中获得事件,并将事件提供给CIDF的其他部分;
事件分析器一分析事件数据,给出分析结果;
响应单元一针对事件分析器的分析结果进行响应,比如,告警、断网、修改文件属性等;
事件数据库——存放中间和最终数据(文本、数据库等形式)。
系统组成:
数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块、相关辅助模块
基于网络的入侵检测系统(NIDS):
可以检测到的攻击有同步风暴、分布式拒绝服务攻击、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问等。
产品:Session Wall、ISS RealSecure、Cisco Secure IDS、Snort
基于主机的入侵检测系统(HIDS):
可以检测针对主机的端口和漏洞扫描、重复登录失败、拒绝服务、系统账号变动、重启、服务停止、注册表修改、文件和目录完整性变化等。
产品:SWATCH、Tripwire、网页防篡改系统
Snort配置有三个主要的模式:嗅探、包记录和网络入侵检测。
Snort规则结构:
规则头:规则行为-alert/log/pass/activate/dynamic 协议类型 源/目的IP地址 子网掩码 方向操作符 源/目的端口
规则选项:告警信息 异常数据的信息(特征码、signature)
例如:检测尝试SSH的root登录:alert tcp $EXTERNAL_NET any -> $HOME_NET 2
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
