linux的安全技术和防火墙

一、安全技术

1.入侵检测系统：特点式不阻断网络访问，主要式提供报警和事后监督，不主动介入，默默的看着你（相当于360安全卫士）

2.入侵防御系统：透明模式工作，对数据包，网络监控，服务攻击，木马，蠕虫，系统漏洞等等进行准确的分析和判断，在判定为攻击行为后立即阻断，主动的防御（所有的数据在进入本机之前，必须要通过的设备或者软件）

二、防火墙：作用是隔离，工作在网络或者主机的边缘，对网络或者主机的数据包基于一定的规则进行检查，匹配到的规则，要么放行，要么拒绝（拒绝就就是把数据包丢弃），只开放允许访问的策略（白名单机制，拒绝所有，允许个别）。

三、防水墙：透明模式工作，华为的ensp监控就是防水墙。一切对于防水墙来说都是透明的。可以在事前、事中、事后都可以进行检测。

四、防火墙：

1.iptables：这个是linux自带的防火墙，一般用于内部配置，工作在网络层，针对数据包实施过滤和限制，是包过滤防火墙，对外一般不适用（对外都使用专业的）；iptable的过滤规则就是由内核态来进行控制。

2.firewald ：这个也是Linux自带的防火墙，centos7以后默认的防火墙，也是包过滤防火墙；作用是网络层对数据包进行选择，选择的依据是防火墙设置的策略，策略包括：IP地址，端口，协议；优点是处理速度块，容易维护；缺点是无法检查应用层数据，病毒无法进行处理。

3.应用层防火墙：在应用层对数据进行检查，比较安全；优点是更加安全，问题定位精准；缺点是所有数据都会检查，会增加防火墙的负载。

五、通信的五大要素：源ip和目的ip

                                   源端口和目的端口

                                   协议（tcp/upd）

      通信的四大要素：源ip和目的ip

                                   源端口和目的端口

六、内核态和用户态：

       内核态：设计到软件的底层代码或者是系统的基层逻辑，以及一些硬件的编码，开发人员更关注内核态；数据如果是内核态处理，速度相对较快。

        用户态：应用层软件层面，认为控制的一系列操作，使用功能，运维人员只考虑用户态；数据通过用户态处理，速度是比较慢的。

七、iptables的配置和策略：四表五链（表里面有链，链里面有规则）

四表：

Raw表：控制数据的状态，跟踪数据包的状态。优先级最高

Mangle表：修改数据包的头部信息。

NAT表：网络地址转换，可以改变数据包的源地址和目的地址

filter表：也是iptables的默认表，不做声明，默认就是filter表，作用是过滤数据包，控制数据包的进出，以及接受和拒绝数据包。优先级最低。

五链：

PREROUTING链:处理数据包进入本机之前的规则（NAT表）

INPUT链：处理数据包进入本机的规则（filter表，是否允许数据包进入，拒绝的话数据包将直接丢弃）

output链：处理本机发出的数据包规则，或者是数据包离开的本机规则（filter表，一般不做设置，进来肯定会让其出去）

forward链：处理数据包转发到其它主机的规则，或者是允许本机进行数据包转发。

postrouting链：处理数据包离开本机之后的规则（NAT表）

优先级：

 第一种跨网段数据包转发的情况

 第二种情况：请求和响应的过程

八、iptables：

1.管理选项：在表的链中插入，增加，删除，查看规则。

-t :  指定表名+管理选项

-A ：在链中添加一条规则，在链尾添加

-I：指定位置插入一条规则

-P:指定默认规则，链的规则一般都是设置成拒绝

-D：删除规则

-R：修改规则（慎用）

-vnL：v显示详细信息，n以数字形式展示内容，L查看

--line-numbers：显示规则的编号，一般和查看一起使用

-F：清空链中的所有规则（慎用）

-X：清除自定义链中的规则

2.匹配条件：数据包的ip地址，端口，协议。 

   匹配原则：每个链中规则都是从上到下的顺序匹配，匹配到之后不再向下匹配

   如果链中没有规则，则执行链的默认策略进行处理

-p：指定协议类型

-s:指定匹配的源ip地址

-d：指定匹配的目的ip地址

-i：指定数据包进入本机的网络设备（比如ens33）

-o:指定数据包离开本机的网络设备

--sport：指定原端口

--dport：指定目的端口

3.控制类型：允许，拒绝，丢弃。

-j ：后面跟上下面的控制类型

ACCEPT:允许数据包通过。

DROP：直接丢弃数据包，没有任何回应信息。

REJECT：拒绝数据包通过，数据包也会被丢弃，但是会有一个响应的信息。

SNAT：修改数据包的源地址。

DNAT：修改数据包的目的址。

4.注意事项：不指定表名，默认就是filter表

                                         不指定链名，默认就是所有链（禁止行为）

                                         除非设置了链的默认策略，否则必须执行匹配条件（一般都是指定匹配条件）

                                         选项、链名和控制类型都是大写，其余的都是小写。

九、iptables的命令格式：

iptables [ -t  表名]  管理选项  链名 （大写）匹配条件 [ -j  控制类型]

十、隐藏 扩展模块

-m：扩展模块，明确指定类型，多端口，Mac地址，IP范围。

如何指定多端口：

-m multiport --sport /--dport

iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j REJECT

指定IP地址的范围：

-m iprange --src-range  源IP范围

-m iprange --dst-range 目的IP范围

在20-50范围内的主机不允许ping主机

iptables -A INPUT -p icmp -m iprange --src-range 20.0.0.20-20.0.0.50 -j REJECT

十一、实验：

1.首先要关闭firewalld的防火墙：systemctl  stop  firewalld

  关闭安全机制：setenforce   0

  安装iptables防火墙：yum   -y   install    iptables   iptables-services

  重启iptables防火墙：systemctl  restart   iptables

  安装service：systemctl     enable     iptables.service

2.查看规则：iptables  -L

iptables  -vnL：以数字化的形式查看原则

查看iptables的行号 iptables -vnL  --line-numbers

清空规则（不指定的话系统默认只清空的是filter表）：iptables  -F

添加一条拒绝所有主机来ping本机的规则

 插入一条允许所有主机都可以ping通本机的规则（当你直接添加一条允许规则是不会生效的，只能是插入，而且是要插入到第一条）

 指定IP地址（拒绝IP20ping主机，允许IP30ping主机）

 

指定多个IP地址（一次拒绝多个IP地址ping主机）：多个IP要用逗号隔开，控制类型既可以是REJECT也可以是DROP。

DROP：直接丢弃数据包，没有任何回应信息。

REJECT：拒绝数据包通过，数据包也会被丢弃，但是会有一个响应的信息。

 拒绝指定端口

--sport：指定原端口

--dport：指定目的端口

 即拒绝IP也拒绝端口

 拒绝主机访问本机的nginx

 3.删除规则：根据序号删除即可

4. 修改策略（一般不用）

5.修改链名的默认策略（工作中不用）：将默认的INPUT链的ACCEPT修改为DROP

 6.如何指定网络设备

禁止IP192.168.127.20主机通过ens33的网卡来访问本机的80端口服务

 

 7.备份和还原：iptables 的配置文件保存在 /etc/sysconfig/iptables，每次重启服务都会重新读取配置文件里的规则，也可以通过iptables-save把当前防火墙配置保存在文件中，每次需要读取这个配置时通过iptables-restore命令获取配置，这个获取配置也是临时生效。可以配合脚本在系统启动时自动加载配置。

8.自定义链：iptables -N  自定义链名：添加自定义链

                     iptables  -E   原自定义链名  现在的自定义链：更改源自定义链名

                     iptables  -X   自定义链 ：删除自定义链名

十二、地址转换

sant和dnat

snat：源地址转换（内网的多个主机可以只有一个有效的公网ip地址访问外部网络）

dnat：目的地址转换（外部用户，可以通过一个公网地址访问服务内部的私网服务，私网的ip和公网ip做了一个映射）

实验：

1.分别关闭三台主机firewalld防火墙及安全机制，并向10及30主机进行安装nginx

2.给20主机添加一个网卡

3.修改20主机的网卡的IP地址：vim  ifcfg-ens33

4.配置30主机

5.配置10主机

6.配置20主机的linux内核参数配置文件，内核优化都在这个配置文件中设置：vim   /etc/sysctl.conf

 十三、在Linux当中如何抓包

tcpdump就是linux自带的抓包工具（最小化安装是不带的，需要额外安装）

tcpdump命令：

 十四、centos7防火墙：firewalld
firewalld：centos7自带的。和iptables一样，也是包过滤防火墙

firewalld过滤，通过区域来进行配置

iptables是一个静态防火墙，只有满足条件他才会触发

firewalld是动态防火墙

iptables靠规则

firewalld靠区域

firewalld的区域：

1.trusted：信任区，所有流量都可以传入
2.public：公共区域，允许ssh或者dhcpv6-client的流量可以传入，其他的全部拒绝，也是firewalld的默认区域。
3.dhcpv6-client：获取ipv6地址的客户端工具

4.external：外部区域，允许ssh或者dhcpv6-client的流量可以传入，其他的全部拒绝，默认通过此区域转发的ipv4流量地址，可以进行伪装。
5.home：家庭区域，允许ssh或者dhcpv6-client的流量可以传入，其他的全部拒绝
6.internal：内部区域，默认值与home区域的作用相同
7.work：工作区域。允许ssh或者dhcpv6-client的流量可以传入，其他的全部拒绝
8.DMZ：隔离区/非军事区，允许ssh和其他的预定义好的配置，其他的全部拒绝
9.block：限制区，所有流量都会被拒绝
10.drop：丢弃区，所有流量都会丢弃，没有任何响应

firewalld命令