一:防火墙的概念
基本概念:
防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。
详细解释:
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Securit Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
也就是说,防火墙大概分为主机防火墙和网络防火墙,主机防火墙针对与自己的主机,而网络防火墙处于网络入口或者边缘,在共有网和局域网之间构造屏障,其实在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
基本特性:
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
(二)只有符合安全策略的数据流才能通过防火墙
(三)防火墙自身应具有非常强的抗攻击免疫力
(四)应用层防火墙具备更细致的防护能力
(五)数据库防火墙针对数据库恶意攻击的阻断能力
主要优点:
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
管理方式:
firewall火墙策略管理工具,较简单
iptables相对来说更专业(iptables涉及到防火墙的三表五链)
防火墙的工作机制:
iptables对应有三张表五条链
三表的解释:
Fliter表:INPUT链,OUTPUT链,FORWARD链
NAT表:INPUT链,PREOUTING链,OUTPUT链,POSTROUTING链
Mangle表:PREOUTING链,OUTPUT链,POSTROUTING链,INPUT链,FORWARD链
Filter表:负责过滤数据包,经过内核(访问本机的)input和output。
NAT表:用于网络地址转换(ip,端口),(不访问本机的数据包),做地址转化的时候要用到filter表的forward链。
Mangle表:修改数据包的服务类型,TTL,并且可以配置路由时先QOS(限制或开放不够用的时候用Mangle),mangle(转做附加说明,前两张表不够用)
五链的解释:
INPUT链:进来的数据包应用此规则链中的规则,input匹配目的IP是本机的数据包;
OUTPUT链:外出的数据包应用此规则链中的规则
FORWARD链:转发数据包时应用此规则链中的规则,forward匹配流经本机的数据包;
PREROUTING链:对数据包做路由选择前应用此规则链中的规则,prerouting用来修改目的地址用来做DNAT;
POSTROUTING链:对数据包做路由选择后应用此规则链中的规则,postrouting用来修改源地址用来做SNAT
三表五链的用法:
mangle(前两张表不够用,用mangle表,有五个链:PREOUTING链,OUTPUT链,POSTROUTING链,INPUT链,FORWARD链)
二:firewalld的用法(firewalld企业7之前里面没有)
前提:查看防火墙的状态
**<1>图形化管理防火墙 **
firewall-config 打开防火墙图形界面,在里面设置
具体解释如图所示:
<2>命令管理防火墙
firewall-cmd --state 查看firewalld的状态
firewall-cmd --get-active-zones 查看正在使用的域
firewall-cmd --get-default-zone 查看默认的域
firewall-cmd --
最低0.47元/天 解锁文章
扫一扫
1601
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
