目录
前言
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。
那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??
下文会详细的解决这个问题~~
一、防火墙
1、防火墙的概述
Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
2、防火墙的分类
-
网络层防火墙(Packet Filtering Firewall):这种防火墙通过检查数据包的源地址、目的地址、端口号等基本信息来过滤流量。它工作在OSI模型的网络层,提供基本的访问控制,但可能无法防御复杂的应用层攻击。
-
状态检测防火墙(Stateful Inspection Firewall):在网络层防火墙的基础上,状态检测防火墙增加了对连接状态的跟踪。这使其能够更准确地判断数据包的合法性,提高了安全性,但仍可能对某些应用层威胁无能为力。
-
代理防火墙(Proxy Firewall):代理防火墙在应用层工作,通过代理服务器转发和过滤流量,从而隐藏内部网络结构。它不仅进行内容检查,还能防御恶意代码,提供了较高的安全性,但可能影响网络性能。
-
下一代防火墙(Next-Generation Firewall, NGFW):NGFW结合了传统防火墙的功能和更先进的技术,如入侵检测与防御系统(IDS/IPS)和应用识别。这使其能够防御复杂的攻击,提供全面的网络保护。
-
Web应用防火墙(Web Application Firewall, WAF):WAF专门针对Web应用程序的安全问题,如SQL注入和跨站脚本(XSS)。它能够深入分析HTTP/HTTPS流量,提供针对Web应用的防护,确保在线业务的安全性。
3、netfilter 和 iptables 的关系
①、netfilter
netfilter:属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。1inux 好多东西都是内核态 用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
②、iptables
iptables·:属于"用户态"(User space,又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、
nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
二、iptables的表、链结构
1、iptables四表五链结构介绍
iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源前往某些目的或具有某些协议特征的数据包应该如何处理。
为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机
其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链
2、四表
四表依次顺序:raw、mangle、nat、filter| 表 | 主要用途 | 链 |
|---|---|---|
| raw | 决定是否对数据包进行状态跟踪 | OUTPUT、PREROUTING |
| mangle | 修改数据包内容,用于流量整形 | OUTPUT、FORWARD、PREROUTING、POSTROUTING |
| nat | 网络地址转换,修改数据包的源/目标IP地址或端口 | OUTPUT、PREROUTING、POSTROUTING |
| filter | 过滤数据包,确定是否放行 | INPUT、FORWARD、OUTPUT |
注:在iptables的四个规则表中,mangle表和raw表的应用相对较少
3、五链
五链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING| 链 | 主要用途 |
|---|---|
| INPUT | 处理入站数据包,匹配目标 IP 为本机的数据包。 |
| OUTPUT | 处理出站数据包,一般不在此链上做配置。 |
| FORWARD | 处理转发数据包,匹配流经本机的数据包。 |
| PREROUTING | 在进行路由选择前处理数据包,用来修改目的地址,用来做 DNAT。相当于把内网服务器的 IP 和端口映射到路由器的外网 IP 和端口上。 |
| POSTROUTING | 在进行路由选择后处理数据包,用来修改源地址,用来做 SNAT。相当于内网通过路由器 NAT 转换功能实现内网主机通过一个公网 IP 地址上网。 |
4、数据包过滤的匹配流程
4.1、规则表的应用顺序
raw->mangle->nat->filter4.2、规则链的匹配顺序
主机型防火墙:
数据包直接进入到防火墙所在的服务器的内部某一个应用程序当中,是不是我只是路过服务器吧,是直接进入到服务
入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING -->INPUT -->本机的应用程序
出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序-->OUTPUT-->POSTROUTING
网络型防火墙:
转发数据(需要经过防火墙转发的数据包):PREROUTING-->FORWARD-->POSTROUTING
三、iptables语法格式
1、iptables 基本语法
- 语法构成:
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]其中,表名、链名用来指定 iptables 命令所操作的表和链,未指定表名时将默认使用 filter 表;
- 管理选项:表示iptables规则的操作方式,如插入、增加、删除、查看等;
- 匹配条件:用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理;
- 控制类型指的是数据包的处理方式,如允许、拒绝、丢弃等。
注意事项:
- 不指定表名时,默认指filter表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 选项、链名、控制类型使用大写字母,其余均为小写
2、iptables 数据包控制类型
对于防火墙,数据包
最低0.47元/天 解锁文章
扫一扫
429
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
