Linux软件防火墙策略

最新推荐文章于 2024-06-01 07:38:55 发布
最新推荐文章于 2024-06-01 07:38:55 发布
阅读量430 收藏
点赞数
文章标签: 操作系统 网络
原文链接:https://my.oschina.net/xinsui1314x/blog/3071473
版权

前言:

最近整理一些以前的学习笔记。
过去都是存储在本地,此次传到网络留待备用。

 

防火墙

 

  • 防火墙分类:

    • 软件防火墙
    • 硬件防火墙

  • 防火墙作用:

    • 隔离

  • 防火墙处理接收到的访问消息规则:

    • 匹配即停止:
      1.查看客户端请求数据包中,源IP地址,查看自己所有的预设区域,那个预设区域有该源IP地址的策略,则进入哪个预设区域。
      2.如果 规则1 不符合,则进入默认的预设安全区域。

  • 防火墙与selinux的关系:

        SELinux                     防火墙默认区域                  操作
permissive(宽松)                trusted(信任)                将想要拒绝的源ip放入block/dorp
enforcing(严格)                 block/dorp(阻塞/丢弃)         将想允许的源ip放入trusted

 

Linux软件防火墙

系统服务管理工具
firewalldfirewall-cmd;firewall-config(图形)
iptales

1.预设安全区域

  • 根据所在的网络场所区分,预设保护规则集

    • public :仅允许访问本机的sshd等少数几个服务。
    • trusted :允许任何访问。
    • block :阻塞任何来访请求(明确拒绝,客户端会接收到拒绝反馈)
    • drop :丢弃任何来访的数据包(直接丢弃,节省服务器资源,客户端没有反馈)

  • 查看防火墙当前默认安全区域

    ]# firewall-cmd --get-default-zone    
 # firewall-命令 --获取-默认-区域

  • 列出public全部区域规则

    ]# firewall-cmd --zone=pubilc --list-all    
 # firewall-命令 --区域=区域名 --列出-全部

  • 修改默认安全区域

    ]# firewall-cmd --set-default-zone=block
 # firewall-命令 --设置-默认-区域=区域名

2.防火墙对于服务的控制

  • 为区域中添加服务

    ]# firewall-cmd --zone=public --add-service=http
 # firewall-命令 --区域=区域名 --添加-服务=服务名

3.防火墙永久配置

  • 选项:--permanent(永久) 
    ]# firewall-cmd --permanent --zone=public --add-service={http,ftp}
 # firewall-cmd --reload        # 重新加载防火墙配置,每次配置完防火墙后需要重新加载

4.防火墙对源IP地址的控制

  • 将源IP172.25.0.10加入block区域,阻塞源IP的访问。(source:源)

    ]# firewall-cmd --zone=block --add-source=172.25.0.10
]# firewall-cmd --reload

  • 删除区域中的源IP地址

    ]# firewall-cmd --zone=block --remove-source=172.25.0.10

5.端口转发

  • 端口:以数字、编号 来标识进程或程序
  • 常用默认端口:http=80 ; FTP=21 
     #172.25.0.11:5423 ----> 172.25.0.11(firewalld) ----> 172.25.0.11:80
 #将ip的5423端口转发到ip的80端口
]# firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
 # firewall-命令 --永久 --区域=区域名 --添加-转发-端口=端口=5423:协议(protocol)=tcp:给端口=80
]# firewall-cmd --reload

转载于:https://my.oschina.net/xinsui1314x/blog/3071473

chouzhi7161
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙.pdf
04-12
从其他地方下载下来的。在这里与大家分享。 内容简介   《Linux防火墙》创造性地将防火墙技术和入侵检测技术相结合,充分展示开源软件的威力。书中全面阐述了iptables防火墙,并详细讨论了如何应用psad、fwsnort、fwknop 3个开源软件最大限度地发挥iptables检测和防御攻击的效力。大量真实例子以及源代码更有助于读者理解安全防御的原理、技术和实际作。 作者简介   Michael Rash,世界级的安全技术专家,以防火墙、入侵检测系统等方面的造诣享誉安全界。他是psad、fwsnort和fWknop等著名开源安全软件的开发者。也是屡获大奖的Dragon入侵防御系统的安全架构师。除本书外.他还与人合撰Snort 2.1 Intrusion Detection和Intrusion Prevention and Active Response。他同时还是Linux Joumal、SysAdmin和login等著名技术媒体的专栏作家。 目录   第1章 iptables使用简介 1   1.1 iptables 1   1.2 使用iptables进行包过滤 2   1.2.1 表 2   1.2.2 链 2   1.2.3 匹配 3   1.2.4 目标 3   1.3 安装iptables 4   1.4 内核配置 5   1.4.1 基本Netfilter编译选项 6   1.4.2 结束内核配置 7   1.4.3 可加载内核模块与内置编译和安全 7   1.5 安全性和最小化编译 9   1.6 内核编译和安装 9   1.7 安装iptables用户层二进制文件 10   1.8 默认iptables策略 11   1.8.1 策略需求 11   1.8.2 iptables.sh脚本的开头 12   1.8.3 INPUT链 13   1.8.4 OUTPUT链 15   1.8.5 FORWARD链 15   1.8.6 网络地址转换 16   1.8.7 激活策略 17   1.8.8 iptables-save与iptables-restore 18   1.8.9 测试策略:TCP 20   1.8.10 测试策略:UDP 21   1.8.11 测试策略:ICMP 22   1.9 本章总结 23   第2章 网络层的攻击与防御 24   2.1 使用iptables记录网络层首部信息 24   2.2 网络层攻击的定义 27   2.3 滥用网络层 28   2.3.1 Nmap ICMP Ping 28   2.3.2 IP欺骗 28   2.3.3 IP分片 30   2.3.4 低TTL值 30   2.3.5 Smurf攻击 31   2.3.6 DDoS攻击 32   2.3.7 Linux内核IGMP攻击 32   2.4 网络层回应 33   2.4.1 网络层过滤回应 33   2.4.2 网络层阈值回应 33   2.4.3 结合多层的回应 34   第3章 传输层的攻击与防御 35   3.1 使用iptables记录传输层首部 35   3.1.1 记录TCP首部 35   3.1.2 记录UDP首部 37   3.2 传输层攻击的定义 38   3.3 滥用传输层 38   3.3.1 端口扫描 38   3.3.2 端口扫射 46   3.3.3 TCP序号预测攻击 46   3.3.4 SYN洪泛 47   3.4 传输层回应 47   3.4.1 TCP回应 47   3.4.2 UDP回应 50   3.4.3 防火墙规则和路由器ACL 51   第4章 应用层的攻击与防御 53   4.1 使用iptables实现应用层字符串匹配 53   4.1.1 实际观察字符串匹配扩展 54   4.1.2 匹配不可打印的应用层数据 55   4.2 应用层攻击的定义 56   4.3 滥用应用层 56   4.3.1 Snort签名 57   4.3.2 缓冲区溢出攻击 57   4.3.3 SQL注入攻击 59   4.3.4 大脑灰质攻击 60   4.4 加密和应用层编码 62   4.5 应用层回应 63   第5章 端口扫描攻击检测程序psad简介 64   5.1 发展历史 64   5.2 为何要分析防火墙日志 64   5.3 psad特性 65   5.4 psad的安装 65   5.5 psad的 67   5.5.1 启动和停止psad 68   5.5.2 守护进程的唯一性
linux防火墙策略
weixin_34234721的博客
05-16 225
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux安全防火墙(iptables)配置策略
最新发布
qq_53058639的博客
06-01 1545
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
linux防火墙(firewalld和iptables)
肥猫警长的博客
11-01 4970
这里写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网段)及端口 及服务3.1.3其它
Linux--防火墙策略 iptables(续)
j_Lawrencee的博客
08-16 924
***************************************************************************************************************************************************************************************           昨天写
linux防火墙保护系统策略,系统安全保护以及防火墙策略管理
weixin_27183235的博客
05-12 244
系统安全保护以及防火墙策略管理系统安全保护SELinux概述• Security-Enhanced Linux– 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系– 集成到Linux内核(2.6及以上)中运行– RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具• SELinux的运行模式– enforcing(强制)、permi...
Linux操作系统防火墙下的应用策略路由
03-04
本文主要是说明了把iptables和iproute2协同以后可以做出很多很强的...可以利用iptables强劲的对数据报的识别能力来将不同类型的数据包打上你自己定义的标示,然后利用iproute2的策略路由的功能来对路由进行人为的干预。
LINUX防火墙的研究与实现(详细配置)
01-10
本文将首先从Intranet的安全性入手, 分析Intranet面临的安全问题,讨论Intranet安全设计需求,然后详述防火墙的背景知识和关键技术,最后重点介绍我们提出的基于Linux平台的复合防火墙的设计和实现。 ...
Linux上iptables防火墙的应用教程
10-16
Linux 上的 iptables 防火墙是一种常用的防火墙软件,能够控制访问 Linux 系统的流量。iptables 防火墙的基本应用包括安装、清除规则、开放指定端口、屏蔽指定 IP、删除已添加的规则等。 安装 iptables 防火墙 若...
浅谈linux系统firewalld防火墙常用策略(ipv6、ipv4)
Mr.Wang的博客
12-08 6010
本文以CentOS7系统为例来讲述firewalld防火墙常用命令以及基础策略,主要记录博主日常维护系统常用防火墙命令操作,网络安全需求日益增长,需要大家共同努力维护绿色安全。
工作中常用到的Linux系统firewall防火墙策略
征服Bug的博客
07-27 3218
firewall简介firewall的作用是为包过滤机制提供匹配机制(策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便的组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv6防火墙设置以及以太网,并且拥有两种配置模式,运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。防火墙技术分为三类包过滤,应用代理,状态检测。...
8_Linux 系统中的防火墙策略优化
毕加索的忧伤
04-11 761
-------> 3、 iptables 的使用 火墙策略的永久保存 永久保存策略 4、火墙默认策略 默认策略中的5条链默认的3张表命令 数据包状态 表中的 5、firewalld 1. firewalld的开启 的开启 2. 关于firewalld的域 关于的域 3. 关于firewalld的设定原理及数据存储 关于的设定原理及数据存储 的管理命令 5. firewalld的高级规则 的高级规则 6. fi
关于linux的软防火墙
gong_xucheng的专栏
06-04 1070
redhat 系统一般都会挂接此模块,大并发下linux的软防火墙由于其跟踪tcp/ip会影响系统效率,大型应用生产环境应该使用硬件防火墙,如果使用硬件防火墙linux的软防火墙是多余的,请卸载Linux防火墙。命令: # service iptables stop停止iptables服务,重启OS还会启动之 # service ip6tables stop停止ip6tables服务,重启
玩转Linux三大防火墙工具!
全网粉丝10W+、全栈领域优质创作者、掘金、阿里云等社区博客专家、专注于全栈领域和毕业项目实战
04-04 4155
一:iptables 精华:iptables和firewalld都不是防火墙,他们都只是管理防火墙的工具、服务而已! 重点:iptables防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉,从而导致任何主机都无法访问我们的服务 1.常用操作 iptables -I INPUT -s 网段/掩码 -p tcp --dport 端口号 -j A...
Linux常用的防火墙工具
qq_74137843的博客
03-16 1103
Linux防火墙规则是用于控制进出Linux系统网络流量的一系列指令。防火墙规则可以基于源IP地址、目的IP地址、端口号、协议类型等条件来允许或拒绝网络连接。在Linux中,最常用的防火墙工具是iptables和firewalld。
linux防火墙
qq_59161414的博客
08-22 340
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障
Linux防火墙技术与开源软件深度剖析
LINUX防火墙》是一本创新的IT技术专著,它将防火墙技术和入侵检测技术巧妙融合,展现了开源软件网络安全领域的强大能力。本书主要关注Linux系统中的iptables防火墙,深入讲解其配置、管理和优化策略,以提升系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值