Linux 防火墙

目录

安全技术

防火墙的分类

按保护范围划分

按实现方式划分

按网络协议划分

应用层防火墙(7层)

防火墙的工作原理

linux防火墙的基本认识

防火墙工具介绍

1.iptables

2.firewalld

3.nftables


安全技术

—— 入侵检测系统(Intrusion Detection Systems)

特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式

—— 入侵防御系统(Intrusion Prevention System)

以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式(必经之路)

—— 防火墙( FireWall )

隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.

防火墙的分类

按保护范围划分

主机防火墙:服务范围为当前一台主机

网络防火墙:服务范围为防火墙一侧的局域网

按实现方式划分

硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现

软件防火墙:运行于通用硬件平台之上的防火墙的应用软件

按网络协议划分

网络层防火墙:OSI模型下四层,又称为包过滤防火墙

应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层

应用层防火墙(7层)

应用层防火墙/代理服务型防火墙,也称为代理服务器(Proxy Server)

将所有跨越防火墙的网络通信链路分为两段

内外网用户的访问都是通过代理服务器上的“链接”来实现优点:在应用层对数据进行检查,比较安全

缺点:增加防火墙的负载

正向代理:也就是翻墙,代理的是客户端

可以绕开防火墙限制,加快访问速度

反向代理:代理的是服务器

负载均衡(lvs,haproxy,nginx)

防火墙的工作原理

接收数据包

数据包为:mac头部 ip头部 协议/端口 7层协议(http) 真实数据 校验位

过程:

收包>拆包>检查(没问题)>装包

收包>拆包>检查(有问题)>隔离或者丢弃

4层原理:传输层 通过协议,端口号,ip,mac控制流量

7层原理:应用层,控制真实数据,协议(7层协议:http,dns等),端口号,mac地址,ip地址

linux防火墙的基本认识

—— Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中

—— Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统;Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架;Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作

防火墙工具介绍

1.iptables

由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包

2.firewalld

从CentOS 7 版开始引入了新的前端管理工具

软件包:

firewalld

firewalld-config

管理工具:

firewall-cmd 命令行工具

firewall-config 图形工作

3.nftables

五个勾子函数和报文流向

Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、

PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则

由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上提示:从 Linux kernel 4.2 版以后,Netfilter 在prerouting 前加了一个 ingress 勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量,这个新挂钩比预路由要早,基本上是 tc 命令(流量控制工具)的替代品

内核中数据包的传输过程

—— 当一个数据包进入网卡时,数据包首先进入 PREROUTING链,内核根据数据包目的 IP判断是否需要传送出去

—— 如果数据包是进入本机的,数据包就会沿着图向下移动,到达 INPUT链,数据包到达 INPUT链之后,任何进程都会收到它,本机上运行的程序可以发送数据包,这些数据包经过 OUTPUT链,然后到达 —— 如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过 FORWARD链,然后到达 POSTROUTING链输出

四表五链

四表
  • raw表 :确定是否对该数据包进行状态跟踪

  • mangle表 :为数据包设置标记

  • nat表 :修改数据包中的源,目标IP地址或端口

  • filter表 :确定是否方向该数据包

五链
  • pre_routing :路由选择前

  • post_routing :路由选择后

  • input :进入本机

  • output :出本机

  • forward :转发

iptables 命令

基本语法
iptables -t 指定表 子命令 指定链 规制
//例
iptables -t filter -A INPUT -s 192.168.88.40 -j DROP
选项
iptables作用
-A在指定链末尾追加一条
-I在指定链插入一条新的
-P指定默认规则
-D删除
-R修改,替换某一条规则
-F清除链中所有规则
-N新加自定义链
-X清空自定义链的规则,不影响其他链
-Z清空链的计数器
-S看链的所有规则
规则选项
规则选项作用
-s源地址
-d目的地址
-ptcp 、udp 、icmp协议
-i进口网卡
-o出口网卡
--sport源端口
--dport目标端口
跳转选项
跳转选项作用
DPOR丢弃
REJECT拒绝
ACCEPT允许

命令举例

查看规则表
iptables -vnL        #查看规则表 v详细 n数字化 L(大写)防火墙列表

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值