防火墙:
从逻辑上分类:
主机防火墙:针对单个主机进行防护
网络防火墙:处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网
从物理上分类:
硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低
netfilter才是防火墙真正的安全框架,处于内核空间
内核空间:也叫作内核态,操作系统占据的内存区域
用户空间:也叫作用户态,用户进程所在的内存区域
网络安全的知名企业:深信服,思科,天融信
硬件防火墙:思科(AIR-CT5508-300-K9)
华为(USG6670)
四表,五链:
四表在同一个链中有顺序:
raw > mangle > nat >filter
防火墙配置:
iptables -L 查看所有规则
iptables -F 清空规则
iptables -t filter -D INPUT 1 某一个链的某个规则。
iptables -t tilter -L 查看指定表的规则
[root@localhost ~]# iptables -nvL --line-number
-n:转化成数字
-v:显示详细信息
–line-number 显示链下规则的序号
target:
ACCEPT:容许,接收
DROP:丢弃
REJECT:拒绝
增:
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j REJECT
[root@localhost ~]# iptables -t filter -I OUTPUT -d 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -A INPUT -s 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT #“具体添加到哪一行”
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -p ICMP -j DROP #禁ping。
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.145 -p tcp --dport 80 -j REJECT
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -p ICMP -j DROP #禁ping。
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.145 -p tcp --dport 80 -j REJECT
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j REJECT
[root@localhost ~]# iptables -t filter -I OUTPUT -d 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -A INPUT -s 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT #“具体添加到哪一行”
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -p ICMP -j DROP #禁ping。
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.145 -p tcp --dport 80 -j REJECT
[root@localhost ~]# iptables -t filter -I INPUT -p ICMP -s 192.168.42.145,192.168.42.102 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT -p ICMP -s 192.168.42.0/24 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT -p ICMP ! -s 192.168.42.145 -j ACCEPT #在192.168.42.0/24 屏蔽了 192.168.42.145
!排除
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --sport 22 -j ACCEPT
[root@localhost ~]# iptables -t filter -A INPUT -j REJECT #拒绝所有。
-s 原地址
-d 目的地址
-p 协议
–dport 目标端口
–sport 源端口
-I 添加到第一条
-A追加到最后
删:
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t filter -D INPUT 2
[root@localhost ~]# iptables -t filter -D INPUT -p tcp --sport 22 -j ACCEPT
改:
[root@localhost ~]# iptables -t filter -R INPUT 2 -p tcp --dport 80 -s 192.168.42.102 -j ACCEPT
[root@localhost ~]# iptables -t filter -R INPUT 2 -p tcp --dport 80 -s 192.168.42.102 -j ACCEPT
查:
[root@localhost ~]# iptables -nvL --line-number
-n
-v
-L
-n
-v
-L
保存规则:
[root@localhost ~]# service iptables save 保存到文件,/etc/sysconfig/iptables
[root@localhost ~]# iptables-save 输出规则到屏幕
[root@localhost ~]# md5sum /etc/sysconfig/iptables
ve 保存到文件,/etc/sysconfig/iptables
[root@localhost ~]# iptables-save 输出规则到屏幕
[root@localhost ~]# md5sum /etc/sysconfig/iptables