Liunx学习总结(九)--防火墙

最新推荐文章于 2023-04-26 17:25:49 发布
最新推荐文章于 2023-04-26 17:25:49 发布
阅读量265 收藏
点赞数
文章标签: 网络 运维
原文链接:http://www.cnblogs.com/markLogZhu/p/11399491.html
版权

防火墙的作用

防火墙作为一个边界防御工具,其监控流量要么允许它、要么屏蔽它。 多年来,防火墙的功能不断增强,现在大多数防火墙不仅可以阻止已知的一些威胁、执行高级访问控制列表策略,还可以深入检查流量中的每个数据包,并测试包以确定它们是否安全。大多数防火墙都部署为用于处理流量的网络硬件,和允许终端用户配置和管理系统的软件。越来越多的软件版防火墙部署到高度虚拟化的环境中,以在被隔离的网络或 IaaS 公有云中执行策略。

防火墙的分类

(一)、包过滤防火墙

数据包过滤(packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包的源地址和目的地址,所用的端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。
包过滤防火墙的优点是它对用户来说是透明的,处理速度快且易于维护。缺点是:非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;数据包的源 地址、目的地址和IP的端口号都在数据包的

(二)、代理服务型防火墙

代理服务(proxy service)也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨跃防火墙的网络通信链路 分为两段。当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。如果规则允许用户访问该站点,代理服务器就会替用户去那个站点取 回所需的信息,再转发给用户,内外网用户的访问都是通过代理服务器上的“链接”来实现的,从而起到隔离防火墙内外计算机系统的作用。
此外,代理服务也对过往的数据包进行分析和注册登记,并形成报告,同时当发现有被攻击迹象时会向网络管理员发出警告,并保留攻击记录,为证据收集和网络维护提供帮助。

防火墙的工作原理

(一)、包过滤防火墙的工作原理

包过滤是在IP层实现的,因此,它可以只用路由器来完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允 许包通过,过滤用户定义的内容,如IP地址。其工作原理是系统在网络层检查数据包,与应用层无关。包过滤器的应用非常广泛,因为CPU用来处理包过滤的时 间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。这样系统就具有很好的传输性能,易扩展。
但是这种防火墙不太安全,因为系统对应用层信息无感知--也就是说,它们不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止地址的 盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。基于这种工作机制,包过滤防火墙 有以下缺陷:

1、通信信息:包过滤防火墙只能访问部分数据包的头信息。
2、通信和应用状态信息:包过滤防火墙是无状态的,所以它不可能保存来自于通信和应用的状态信息。
3、信息处理:包过滤防火墙处理信息的能力是有限的。

(二)、代理服务型防火墙工作原理

代理服务型防火墙在应用层上实现防火墙功能。它能提供部分与传输有关的状态,能外圈提供与应用相关的状态和部分传输的信息,它还能处理和管理信息。

FirewallD

什么是 FirewallD

firewalld 是 centos7 的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的 “zone” 概念。firewalld 有图形界面和工具界面,图形界面请参照官方文档,本文以字符界面做介绍。firewalld的字符界面管理工具是 firewall-cmd

firewalld d默认配置文件

  • /usr/lib/firewalld/ :系统配置,尽量不要修改
  • /etc/firewalld/ :用户配置地址

zone概念

硬件防火墙默认一般有三个区,firewalld引入这一概念系统默认存在以下区域:

  • drop:默认丢弃所有包
  • block:拒绝所有外部连接,允许内部发起的连接
  • public:指定外部连接可以进入
  • external:这个不太明白,功能上和上面相同,允许指定的外部连接
  • dmz:和硬件防火墙一样,受限制的公共连接可以进入
  • work:工作区,概念和workgoup一样,也是指定的外部连接允许
  • home:类似家庭组
  • internal:信任所有连接

管理 firewalld

yum install firewalld firewall-config # 安装 firewalld
systemctl start  firewalld # 启动 firewalld
systemctl status firewalld 或者 firewall-cmd --state # 查看 firewalld 状态
systemctl disable firewalld # 停止 firewalld
systemctl stop firewalld # 禁用 firewalld

配置 firewalld

firewall-cmd --version # 查看版本
firewall-cmd --help # 查看帮助
firewall-cmd --state # 显示状态
firewall-cmd --zone=public --list-ports # 查看所有打开的端口
firewall-cmd --reload # 更新防火墙规则
firewall-cmd --get-active-zones # 查看区域信息
firewall-cmd --get-zone-of-interface=eth0 # 查看指定接口所属区域
firewall-cmd --panic-on # 拒绝所有包
firewall-cmd --panic-off # 取消拒绝状态
firewall-cmd --query-panic # 查看是否拒绝

端口管理

firewall-cmd --zone=public --add-port=80/tcp --permanent  # 添加端口 (--permanent永久生效,没有此参数重启后失效)
firewall-cmd --reload # 重新载入端口
firewall-cmd --zone= public --query-port=80/tcp # 查看端口
firewall-cmd --zone= public --remove-port=80/tcp --permanent # 删除端口

转载于:https://www.cnblogs.com/markLogZhu/p/11399491.html

Beiyuan2016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux-防火墙学习总结
csdnlb的博客
11-19 585
三表: Filter表:过滤数据包 NAT表:用于网络地址转换(IP、端口) Mangle表:修改数据包的服务类、TTL、并且可以配置路由实现QOS 五链: INPUT链——进来的数据包应用此规则链中的规则 OUTPUT链——外出的数据包应用此规则链中的规则 FORWARD链——转发数据包时应用此规则链中的规则 PREROUTING链——对数据包作路由选择前应用此链中的规则 POSTROUTIN...
防火墙技术
Ymm的博客
12-05 1万+
1,概述 防火墙(Firewall)是一种将内部网络和外部网络分开的方法,是提供信息安全服务,实现网络和信息系统安全的重要基础设施,主要用于限制被保护的内部网络与外部网络之间进行的信息存取及信息传递等操作。 防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网络和外部网络之间的任何活动,保证内部网络的安全。 防火墙作用是阻断来自外部网络对内部网络的威胁和入侵,提供保护网络安全和审计的第一道关卡。 防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件。 防火墙
(转)关于CentOS防火墙总结
03-29 264
查看防火墙信息/etc/init.d/iptables status开启指定端口/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT/etc/rc.d/init.d/iptables save或者编辑/etc/sysconfig/iptables添加行:-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 8080 -j ACCEPT #也可使用-I INPUT -p tcp --
防火墙详解
weixin_34242331的博客
11-24 1124
本文只讲述防火墙有关理论知识, 相关实例请参见redking 大侠的RH253Linux服务器架设笔记十-Iptables防火墙 我爱敏敏大侠的 Iptables学习心得 注:相关图品打包上传,有需要者可以下载。 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,是不同网络网络安全域之间信息的唯一出入口,能根据企业的...
防火墙基础知识分享
最新发布
weixin_44914455的博客
04-26 868
同时,还需要进行防火墙规则的设置和管理、防火墙的管理和维护等工作,以确保防火墙的有效性和稳定性。同时,还需要进行防火墙的管理和维护,包括防火墙硬件和软件的维护、安全策略的制定和实施、日志的监控和分析等多个方面,以确保防火墙的有效性和稳定性。防火墙规则的设置和管理包括规则的制定和实施、规则的更新和优化、日志的监控和分析等多个方面。智能化防火墙可以采用自适应学习算法,根据网络流量的特征和安全事件的特征,自主调整防火墙规则和策略,以提高防火墙的有效性和稳定性。
linux基础学习文档总结-新人入门必备.doc
10-14
Linux基础学习文档总结 Linux 是一个开源操作系统,广泛应用于服务器、超级计算机、嵌入式系统等领域。本文档总结了 Linux 基础知识,涵盖了文件系统、目录操作、基本命令、文件权限、进程管理、网络配置等方面的...
linux学习总结
04-06
本文将基于“Linux学习总结”这一主题,深入探讨其中的关键知识点,以期为你的学习提供帮助。 一、Linux系统介绍 Linux是一个开源的操作系统,其内核由林纳斯·托瓦兹于1991年创建。Linux系统以自由软件和开放源...
linux-kubernetes通过ansible快速安装
08-13
此外,确保防火墙设置允许Ansible进行远程访问。你可能还需要安装EPEL存储库以获取最新的软件包。 二、Ansible安装与配置 1. 安装Ansible:在你的控制机上(通常是开发或管理机器),通过包管理器(如`apt`或`yum`...
小白的linux学习之路-centos7开启VNC远程
11-05
【Linux学习之路-CentOS7开启VNC远程】 在Linux世界中,CentOS7是一个广泛使用的操作系统,尤其在服务器管理领域。对于初学者来说,掌握Linux的远程访问能力至关重要,尤其是通过图形化界面进行操作。VNC(Virtual ...
中国民航大学-计算机学院Linux课程学习资料
03-23
中国民航大学计算机学院的Linux课程学习资料是一份全面的资源包,旨在帮助学生深入理解和掌握Linux操作系统的基础知识和高级技能。这份资料集包含了丰富的教学内容,包括课程课件、实验报告以及期末复习指南,旨在...
系统安全性之防火墙技术
学习日常分享
11-08 1640
用于实现防火墙功能的技术可分为两类: (1) 包过滤技术。基于该技术所构建的防火墙简单、价廉。 (2) 代理服务技术。基于该技术所构建的防火墙安全可靠。 上述两者之间有很强的互补性,因而在Intranet上经常是同时采用这两种防火墙技术来保障网络的安全。 包过滤防火墙 1. 包过滤防火墙的基本原理 所谓“包过滤技术”是指:将一个包过滤防火墙软件置于Intranet的适当位置,通常是在路由器或服务器中,使之能对进出Intranet的所有数据包按照指定的过滤规则进行检查,仅对符合指定规则的数据包才准予通行,否则
网络安全检测与防范 测试题(五)
weixin_46067990的博客
06-24 4628
问题 1 1 分 问题 2 1 分 问题 3 1 分 问题 4 1 分 问题 5 1 分 问题 6 1 分 问题 7 1 分 问题 8 1 分 问题 9 1 分 问题 10 1 分 问题 11 1 分 问题 12 1 分 问题 13 1 分 问题 14 1 分 问题 15 1 分 问题 16 1 分 问题 17 1 分 问题 18 1 分 问题 19 1 分 问题 20 1 分 问题 21 1 分 问题 22 1 分 问题 23 1 分 问题 24 1 分 问题 25 1 分 问题 26 1 分 问题 27
信息安全知识竞赛试题
热门推荐
Wraith的博客
08-16 5万+
信息安全知识竞赛试题 单选题 1.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类? (A) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 2.为了防御网络监听,最常用的方法是 (B) A、采用物理传输(非网络) B、信息加密 C、无线网 D、使用专线传输 3.向有限的空间输入超长的字符串是哪一种攻击手段?(A) A、缓冲区溢出; B、网络监听 ;C、拒绝服务 D、IP欺骗 4.主要用于加密机制的
网络安全:包过滤防火墙和代理防火墙(应用网关防火墙
azsx02的博客
04-02 3万+
防火墙过滤防火墙 代理防火墙 应用网关防火墙 HTTP代理 SOCKS协议
试述hadoop生态系统以及每个部分的具体功能?_「大数据架构」Hadoop生态系统:分布式文件系统...
weixin_39562197的博客
12-04 850
Apache HDFSHadoop分布式文件系统(HDFS)提供了一种在多台计算机上存储大文件的方法。 Hadoop和HDFS源自Google文件系统(GFS)文件。 在Hadoop 2.0.0之前,NameNode是HDFS集群中的单点故障(SPOF)。 使用Zookeeper,HDFS高可用性功能通过提供在具有热备用的主动/被动配置中的同一群集中运行两个冗余NameNode的选项来解决此问题...
防火墙相关知识学习总结
Praifire的博客
09-04 3261
一、OECD组织定义的安全网络体系遵循的CIA基本理念:
简述包过滤防火墙过滤原理是什么?
岁月净好
02-06 1万+
简述包过滤防火墙过滤原理是什么?   包过滤防火墙也称分组过滤路由器,又叫网络防火墙,它一般是通过检查单个包的地址,协议,端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。...
CentOS7中firewall防火墙详解和配置
Atommmm的博客
05-25 1574
CentOS7中firewall防火墙详解和配置 修改防火墙配置文件之前,需要对之前防火墙做好备份 重启防火墙后,需要确认防火墙状态和防火墙规则是否加载,若重启失败或规则加载失败,则所有请求都会被防火墙拦截 常用 查看firewall的状态 firewall-cmd --state 查看所有打开的端口: firewall-cmd --zone=public --list-port...
防火墙技术原理分享
weixin_45591980的博客
09-17 1551
防火墙技术原理分享 一. 防火墙技术原理 二. 防火墙的定义 三. 防火墙的核心技术 防火墙技术原理 防火墙概要 防火墙功能及原理 防火墙应用 防火墙存在问题 防火墙定义 防火墙:一种高级访问控制设备, 置于不同网络安全域之间, 它通过相关的安全策略来控制进出网络访问行为 防火墙的核心技术 包过滤: 最常用的一种技术, 工作在网络层, 根据数据包头中的IP. 端口, 协议等确定是否通过检查 应用代理; 另一种朱啊哟技术, 工作第七层应用层, 通过编写应用代理程序, 实现对应用数据的检查和分
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值