Linux安全技术与防火墙

已于 2024-07-12 13:07:17 修改
阅读量1.1k 收藏 25
点赞数 28
文章标签: linux 安全 服务器
于 2024-07-12 10:44:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84618124/article/details/140372515
版权

一、安全技术和防火墙
1.1 安全技术
入侵检测系统:特点是不阻断网络访问,主要是提供报警和时候报警,不主动介入。

入侵防御系统:透明模式工作,对数据包、网络监控、服务攻击、木马蠕虫、系统漏洞等等进行准确的分析和判断。在判定为攻击行为后会立即阻断,主动防御。所有数据在进入本机之前,必须要通过的设备或软件。

防火墙:核心功能:隔离,工作在网络或者主机的边缘,一般在Internet和内网之间。对网络或者主机的数据包基于一定的规则进行检查,根据匹配到的规则放行或拒绝(丢弃数据包)。

只开放允许访问的策略。(白名单机制,拒绝所有,允许个别。)

防水墙:是一种防止内部信息泄露的产品。对外有防火墙的功能,对内是透明模式工作,类似于监控。

 1.2 防火墙
iptables :这个linux自带的防火墙,一般用于内部配置。对外一般不适用(对外都使用专业的)。

firewalld :CentOS7以后默认的防火墙。功能和iptables大体一致。

ufw :是ubantu自带的防火墙,ubantu也有iptables,功能也一致

iptables ufw 和 firewalld都是包过滤防火墙,对数据包进行控制。在网络层对数据包进行选择,选择的依据是防火墙设置的策略。

策略:IP地址,端口,协议。

优点:处理速度快,利于维护。

缺点:无法检查应用层数据,无法对病毒进行处理。

  1. 应用层防火墙:在应用层对数据进行检查,比较安全。

​ 优点:相对更安全,可以精准定位问题。

​ 缺点:所有数据都要检查,会增加防火墙的负载。

  2.iptables防火墙

iptables防火墙工作在网络层,针对数据包实施过滤和限制,属于包过滤防火墙

1.3 内核态和用户态
内核态

涉及到软件的底层代码或者是系统的基层逻辑,以及一些硬件的编码。相对比较复杂,开发人员更关注内核态。

如果数据是内核态处理的,处理速度相对较快。

iptables的过滤规则就是由内核来进行控制的。

用户态

应用层软件层面,多是人为控制的一系列操作,使用功能等。

运维人员一般只考虑用户态。

数据只通过用户态处理,速度相对较慢。

二、iptables防火墙
iptables的配置和策略

2.1 四表五链
iptables的四表:

1.Raw表 :用于控制数据包的状态,可以跟踪数据包的状态

2.Mangle表 :用于修改数据包的头部信息

3.Nat表 :用于网络地址转换,可以改变数据包的源地址和目的地址

4.Filter表 :也是iptables的默认表,不做声明时,默认就是filter表,过滤数据包的进出,以及接收和拒绝数据包

iptables的五链:

PREROUTING链 :处理数据包进入本机之前的规则(路由前)(Nat表)

INPUT链 :处理数据包进入本机的规则(Filter表,是否允许数据包进入)

OUTPUT链 :处理本机发出的数据包的规则,或者是数据包离开本机的规则(Filter表,是否允许数据包发出,一般不做设置)

FORWARD链 :处理数据包转发到其他主机的规则,或者是否允许本机进行数据包转发

POSTROUTING链 :处理数据包离开本机之后的规则(路由后)(Nat表)

通俗的说法:表里面有链,链里面有规则。

四表的优先级

Raw > Mangle > Nat > Filter,匹配规则由高到低。

2.2 数据流向
例:数据转发的过程
按优先级高低查四表里的链,并匹配链里的规则

查PREROUTING链和POSTROUTING链查看地址变换规则,

查FORWARD链是否允许转发,以及转发的具体规则。

例:请求响应的过程(http https服务等)
按优先级高低查四表里的链,并匹配链里的规则

请求:查INPUT链的规则:是否允许该地址或者端口访问web服务。若拒绝,数据包将直接丢弃

响应:查OUTPUT链的规则:是否允许响应,一般不做约束。如拒绝,响应的数据包也被丢弃
 2.3 iptables命令

管理选项 :在表的链中插入、增加、删除、查看规则。

匹配的条件 :数据包的IP地址、端口、协议。

控制类型 :允许,拒绝,丢弃,地址转换。

注意事项

  1. 不指定表名的话,默认指的是filter
  2. 不指定链名的话,默认指的是所有链(此乃禁止行为!)
  3. 除非设置了链的默认策略,否则必须指定匹配条件(一般都要指定匹配条件)
  4. 大部分选项、所有的链名和控制类型都是大写

2.3.1 控制类型
ACCEPT :允许数据包通过

DROP :直接丢弃数据包,且没有任何回应信息

REJECT :拒绝数据包通过,数据包也会被丢弃,但是会有响应的信息

SNAT :修改数据包的源地址(source)

DNAT :修改数据包的目的地址(destination)
 

2.3.2 常用管理选项
-A :在链中添加一条规则,在链尾添加。

-I :指定位置插入一条规则。

-P :默认指定规则,链的规则一般都是设置成拒绝(默认是允许)

-D :删除规则

-R :修改规则(慎用)

-vnL :-v显示详细信息,-n数字形式展示内容,-L查看

--line-numbers :显示规则的编号,一般和查看一起使用

-F :清空链中的所有规则(慎用)

-X :清除自定义链中的规则
 

2.3.3 常用匹配条件
-p :指定协议类型

-s :指定匹配的源IP地址

-d :指定匹配的目的IP地址

-i :指定数据包进入本机的网络设备(指定网卡设备,如ens33)

-o :指定数据包离开本机的网络设备

--sport :指定源端口

--dprot :指定目的端口

-m :使用扩展模块,扩展模块的使用方法在2.4内容中有介绍
 2.3.4 iptables的命令格式 

注意事项

  1. [-t 表名]不指定时默认指定filter
  2. [-j 控制类型],所有控制都要在前面 -j
  3. 需要先安装iptablesiptables-services,安装完成后启动并enable服务iptables
  4. 命令立即生效,不需要重启服务,重启服务会恢复默认策略
2.3.5 iptables匹配原则
  1. 每个链中的规则都是从上到下的顺序依次匹配,匹配到之后就不再向下匹配。
  2. 如果链中没有规则,则执行链的默认策略进行处理。
2.4 iptables实例

例:插入规则

拒绝所有主机来ping本机

在上一行后再添加一行

在第一行插入规则

指定源IP地址20.0.0.20进行控制

对多个源IP地址时,用逗号隔开

指定端口,端口要写在协议后面

拒绝指定IP20.0.0.20通过ssh服务远程登录主机

拒绝指定IP20.0.0.20获取本机的web服务

2.5 iptables的备份和保存
​ iptables 的配置文件保存在 /etc/sysconfig/iptables,每次重启服务都会重新读取配置文件里的规则

也可以通过iptables-save把当前防火墙配置保存在文件中,每次需要读取这个配置时通过iptables-restore命令获取配置,这个获取配置也是临时生效。可以配合脚本在系统启动时自动加载配置
 

2.6 iptables自定义链

创建自定义链

修改自定义链名

删除自定义链

2.7 地址转换
2.7.1 snat和dnat
snat :源地址转换

内网—外网 :内网IP转换成可以访问外网的IP

内网的多个主机可以只有一个有效的公网IP地址访问外部网络

dnat :目的地址转换

外部用户,可以通过一个公网地址访问服务器内部的私网服务。

私网的IP和公网的IP做一个映射。
 

2.7.2 实验
1、test1 :20.0.0.10 ,nginx服务

2、test2 :两个网卡设备:

      ens33:20.0.0.254(私网的网关)
      ens36:12.0.0.254(用来模拟test3的地址是公网地址)
    模拟test1的公网IP :10.0.0.10(test1的地址转换成10.0.0.10和test3进行通信)
3、test3 :12.0.0.10 ,nginx服务

要求:在test2上配置防火墙,使test1作为私网地址,test3作为公网地址,观察双方获取对方web服务时,/var/log/nginx/access.log中记录的访问主机地址,理解NAT的工作方式。

对test1,test2,test3的IP地址分别设置。其中test2两个网卡的IP地址分别作为test1和test3的网关地址。

对test2:

Linux 内核参数的配置文件/etc/sysctl.conf

源地址转换:

  • -t nat :指定表为nat表
  • -A POSTROUTING :添加规则到链
  • -s 20.0.0.0/24 :指定网段
  • -o :指定输出设备
  • -j SNAT :指定控制参数SNAT
  • --to 10.0.0.10 :20.0.0.0/24网段的源地址转换为10.0.0.10这个公网IP地址

目的地址转换:

-d 10.0.0.10 :指定作为目的地址转换的IP地址
-i :从指定设备进入本机
-p :指定协议
--dport :指定端口
-j DNAT :使用目的地址转换
--to 20.0.0.10:80 :外网想要访问内网的20.0.0.10:80(端口号80也可以不加)的web服务,只需要访问公网的10.0.0.10这个IP地址。

2.7.3 tcpdump抓包工具

tcpdump是Linux系统自带的抓包工具。

固定抓包:

tcp :指定抓包的协议,这个位置是第一个参数,也可以不指定
-i :只抓经过指定设备的包
-t :不显示时间戳(可以不加)
-s0 :抓取完整的数据包
-c 10 :抓几个数据包(10就是抓10个包)
dst port :指定抓包的目的端口
src net :指定抓包的IP网段,如果要指定主机把net改成host
-w :保存结果到指定文件


  动态抓包:

 

 一般把抓包的记录保存在.cap文件,导出到Windows系统用wireshark之类的抓包软件分析。需要注意的是,使用wireshark分析,需要tcpdump指定选项-s0获取抓包的完整格式。

2401_84618124
关注
网络安全技术报告-Linux下的防火墙技术与搭建1
08-08
2.2 NATNAT的全名是Network Address Translation,即网络地址转换 2.2.1 PREROUTINGPREROUTING这个链
linux 网络安全技术 防火墙
04-04
linux 网络安全技术 防火墙
Linux网络----防火墙
最新发布
AH99999的博客
02-18 1215
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包[root@localhost ~]#iptables --version ###查看版本号netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。
Linux 防火墙:netfilter、iptables、firewalld、firewall-cmd、ufw
热门推荐
freeking101的博客
04-19 1万+
防火墙 (Firewall) 也称防护墙,是隔离两个网络的一种 隔离技术,它是位于 "内部网络" 与 "外部网络" 之间的一项信息安全的防护系统。依照特定的规则来控制 "进入、出去"的网络流量(数据包),即拦截和放行数据包。拦截有害的包,放行正常的包。防火墙可以比喻为"通信警察",让正常的包通过,有害的包都过滤掉,最大限度地阻止黑客来访问你的网络。
iptables
菜鸟第一步
11-08 936
2.iptables的工作机制 从上面的发展我们知道了作者选择了5个位置,来作为控制的地方,但是你有没有发现,其实前三个位置已经基本上能将路径彻底封锁了,但是为什么已经在进出的口设置了关卡之后还要在内部卡呢? 由于数据包尚未进行路由决策,还不知道数据要走向哪里,所以在进出口是没办法实现数据过滤的。所以要在内核空间里设置转发的关卡,进入用户空间的关卡,从用户空间出去的关卡。那么,既然他们没
ubuntu下通过ufw配置nat
weixin_33716154的博客
10-06 546
ufw是ubuntu下默认自带的一个超级好用的防火墙.有了它以后,你可以轻松配置出来很强悍的防火墙,而不用再记复杂的iptables语法(当然了它只是个简化命令,底层依然是调用的iptables.).它的语法虽然简单易用,但是笔者在用它配置nat映射的时候,却发现没有相关的语法.网上搜索竟也没有相关的中文资料.对比官方文档,几经摸索终于弄明白了ufw怎么配置nat不敢独享...
使用ufw配置ip端口转发
chisiji5178的博客
05-13 2071
使用ufw命令配置端口转发 1.修改ufw文件,允许接收转发的包 vi /etc/default/ufw DEFAULT_FORWARD_POLICY="ACCEPT" 默认配置文件应该有这句,不过是被注释掉的,需要自行开启 如果没找到这句,就直接将这句追加到文件末尾即可 2.修改...
运用Linux系统打造NAT防火墙技术研究与实现
04-16
针对因特网地址匮乏及网络安全性等问题,详细介绍了NAT技术的工作原理及其在防火墙中的应用。阐述了在Linux系统下打造NAT防火墙的设计方案和策略,并且给出了基于NAT防火墙的具体设置步骤和所实现的检测结果。在对...
Linux安全应用iptables防火墙.pptx
10-11
Linux安全应用iptables防火墙.pptx
基于linux系统的防火墙技术与应用毕业设计(论文)
11-15
滤与代理于一身的复合防火墙的设计和实现过程。 本课程设计介绍基于 Netfilter/Iptables 的包过滤防火墙的实现原理。对 Linux 系统、TCP/IP 的相关知识及 Iptables 语法做了介绍。详细介绍了 Iptables 命令的使用...
ubuntu ufw nat 内网代理上网
sflsgfs的专栏
09-06 1340
ubuntu ufw nat 内网代理上网为什么使用ubuntu ufw nat系统换Linux Ubuntu添加更复杂的控制语句做代理 为什么使用ubuntu ufw nat 很多原因吧,其中之一是因为isa(tmg)在server2008以上不好科学使用 系统换Linux Ubuntu 开源,免费,安装简单,自带ufw(iptables的简化版,晚于iptables级别)。 比如: ufw e...
NAT之SNAT和DNAT
wenph2008的专栏
10-21 4257
精彩待续
防火墙配置dnat原理分析
davidstack
05-30 4238
我们通过一个例子来大致理解一 下它是如何工作的。比如,我想通过Internet连接发布我们的网站,但是HTTP server在我们的内网里,而 且我们对外只有一个合法的IP,就是防火墙那个对外的IP——$INET_IP。防火墙还 有一个内网的IP——$LAN_IP,HTTP server的IP是$HTTP_IP (这当然是内网的了)。为了完成我们的设想,要做的第一件事就是把下面的这个简单的规则加入
Ubuntu 20.04防火墙 UFWNAT转换,IP伪装,端口重定向,端口映射
m0_49212388的博客
01-06 9663
参考文档: 《Ubuntu 防火墙IP转发做NAT,内网集群共享网络(简单)》 《focal (8) ufw-framework.8.gz手册》 项目需要一台路由器以实现NAT共享访问外网和端口映射访问内网,索性用ubuntu20.04服务器使用ufw防火墙实现功能。 硬件:至少两个网口的服务器 软件:ubuntu 20.04+ufw 名词解释: ip伪装:在ubuntu里,nat被称为ip伪装,意为“允许IP伪装来自内网口eth1上10.0.0.0/8网络的计算机共享外网口eth0上的单个IP地址” 端口
ubuntu下通过ufw配置nat 【转】
weixin_34128237的博客
11-30 397
转自http://rainbird.blog.51cto.com/211214/394403 ufw是ubuntu下默认自带的一个超级好用的防火墙.有了它以后,你可以轻松配置出来很强悍的防火墙,而不用再记复杂的iptables语法(当然了 它只是个简化命令,底层依然是调用的iptables.).它的语法虽然简单易用,但是笔者在用它配置nat映射的时候,...
Ubuntu iptables 简单学习
捉不住的鼬鼠的足迹
03-19 1117
这里学习下iptables,用的是树莓派,树莓派用的系统Raspbian是基于Debian的,Ubuntu也源自Debian,而Ubuntu更多人知道,所以标题写的是Ubuntu。 简单来说,iptables是用来设置、维护和检查Linux内核的IP包过滤规则的,更多的解释反而让人迷惑,看实际使用来学习,参考: https://www.cnblogs.com/jiu0821/p/5982070...
防火墙技术的优化与网络安全体系构建
为了构建一个全方位的网络安全体系,作者详细论述了如何在各种操作系统环境下实施防火墙,包括Windows、Linux和Unix等,以及如何与入侵检测系统(Intrusion Detection System, IDS)和入侵预防系统(Intrusion ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值