防火墙(iptables)

最新推荐文章于 2024-07-14 18:11:16 发布
最新推荐文章于 2024-07-14 18:11:16 发布
阅读量237 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frinck/article/details/99699757
版权

1.防火墙分类

  • 物理特性的划分
    1. 硬件防火墙
    2. 软件防火墙
  • 按性能划分
    1. 百兆级防火墙
    2. 千兆级防火墙
  • 按结构分类
    1. 单一主机防火墙
    2. 路集成性防火墙
    3. 分布式防火墙
  • 按照技术分类
    1. 包过滤防火墙
    2. 应用代理防火墙
    3. 状态监测防火墙

2.防火墙功能

  • 访问控制
  • 地址转换
  • 网络环境支持
  • 带宽管理功能
  • 入侵检测和攻击防御

3.防火墙安全策略

按照一定规则控制设备对流量转发以及对流量进行诶荣安全一体化检测的策略,本质是包过滤.

  • 安全策略分类
    • 域间安全策略
    • 域内安全策略
    • 接口包过滤
防火墙技术防火墙
访问控制包过滤
代理技术应用代理
会话机制状态检测
多功能叠加UTM
DFI下一代防火墙

3.1访问控制技术

  • 包过滤基础:五元组工作原理(源地址,目的地址,源端口,目的端口,协议)
  • 缺陷:当威胁存在与数据中的时候,访问控制技术无法防御,,因此也无法抵御来自应用层的病毒.

3.2代理技术

  • 客户机不直接访问服务器,而是将请求发送给防火墙,由防火墙访问服务器,并将结果返回给客户机.
  • 特点:只检查数据,对于ip和tcp头不进行检测,

3.3UTM

  • 一次拆包,然后各个检测防火墙依次检测,最后一次打包.
  • 比起多设备叠加,他是多次拆包,多次打包,UTM更加快速

3.4下一代防火墙NGFW

  • 完整的L2-7层次安全架构,强悍的web安全防护能力
  • 只能的攻击行为分析,有效检测apt攻击和僵尸网络
  • 基于应用的安全检测,直观呈现业务安全风险
  • 先进的云安全技术,快速发现并阻断新型威胁

4.linux 下的防火墙:iptables

4.1概述

iptables:是基于包过滤的技术

  • netfilter:位于linux内核中的包过滤功能体系,成为linux防火墙的内核态
  • iptables:位于/sbin/iptables,用来管理防火墙规则的工具,成为linux的用户态.
    • 包过滤的工作层次:主要是网络层,针对ip数据包,主要工作在二三层.
    • 规则链:对数据包进行过滤和处理,可以容纳各种防火墙规则,处理数据包的不同时机
    • 默认五种规则链
      • input:入站规则
      • output:出站规则
      • forward:转发规则
      • postrouting:路由选择后进行处理的包
      • prerouting:路由选择之前进行处理的包
    • 表规则:容纳各种规则链,与防火墙规则相似
      • raw表”确定是否对该数据包进行状态跟踪
      • mangle表:为数据包设计标记
      • nat表:修改数据包中的源,目标ip地址或者短裤欧
      • filter:是否对表进行过滤
  • 规则之间的顺序:nat–>filter
  • 规则链之间的规则:
    • 入站:pre–>input
    • 出站:output–>post
    • 转发:pre-forward->post
  • 按顺序依次检查直到第一次匹配,如果找过到则使用默认的
                             ┏╍╍╍╍╍╍╍╍╍╍╍╍╍╍╍┓
 ┌───────────────┐           ┃    Network    ┃
 │ table: filter │           ┗━━━━━━━┳━━━━━━━┛
 │ chain: INPUT  │◀────┐             │
 └───────┬───────┘     │             ▼
         │             │   ┌───────────────────┐
  ┌      ▼      ┐      │   │ table: nat        │
  │local process│      │   │ chain: PREROUTING │
  └             ┘      │   └─────────┬─────────┘
         │             │             │
         ▼             │             ▼               ┌─────────────────┐
┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅    │     ┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅       │table: nat       │
 Routing decision      └───── outing decision  ─────▶│chain: PREROUTING│
┅┅┅┅┅┅┅┅┅┳┅┅┅┅┅┅┅┅┅          ┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅       └────────┬────────┘
         │                                                    │
         ▼                                                    │
 ┌───────────────┐                                            │
 │ table: nat    │           ┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅                │
 │ chain: OUTPUT │    ┌─────▶ outing decision ◀──────────────┘
 └───────┬───────┘    │      ┅┅┅┅┅┅┅┅┳┅┅┅┅┅┅┅┅
         │            │              │
         ▼            │              ▼
 ┌───────────────┐    │   ┌────────────────────┐
 │ table: filter │    │   │ chain: POSTROUTING │
 │ chain: OUTPUT ├────┘   └──────────┬─────────┘
 └───────────────┘                   │
                                     ▼
                             ┏╍╍╍╍╍╍╍╍╍╍╍╍╍╍╍┓
                             ┃    Network    ┃
                             ┗━━━━━━━━━━━━━━━┛

4.2基本语法

  • iptables -I INPUT -p ICMP –ICMP-type echo-request -j reject

iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

  • -t 表名省略默认为: -t filter
  • 控制类型:
    • accept:允许通过
    • drop:直接丢弃,不流出任何回应
    • reject:拒绝通过,必要是会给出提示
    • log:记录日志信息,然后传给下一条规则继续匹配
  • 添加新的规则:
    • -A:在链的末尾追加一条规则
    • -I:在链的开头或者指定序号插入一条规则
  • 查看规则列表
    • -L:列出所有的规则条目
    • -n:以数字的形式显示地址,端口信息
    • -v以更详细的方式显示规则信息
    • –line-numbers查看规则时显示序号
  • 删除规则
    • -D :删除一条规则
    • -F:清楚规则链
  • 常见的通用匹配条件
    • -p:指定协议
    • -s ,-d:地址协议
    • -i,-o:接口匹配
    • –sport:目标端口匹配,–dport 目标端口
    • tcp:–tcp-flags:检查范围 被设置的标记
    • ICMP类
    • 多端口匹配:-m multiport –s/dports 源目的端口列表
      • ip范围匹配:-m iprange –src-range ip范围
      • -m mac –mac-source Mac地址
      • 状态匹配:-m state –state连接状态
  • linux下的NAT
    • SNAT:将内网转换为外网上网地址,然后允许内网上网
    • DNAT:将外网转换为内网访问地址,然后允许外网访问内部服务器
    • SNAT在postrouting链转换为外部上网地址
      • iptables -t nat -A POSTROUTING -s []/24 -o ens33 -j SNAT –to []
      • 默认linux中没有开启转发:需要将/proc/sys/net/ipv4/ip_forward的值改为1才可以开启路由功能

FIREWALLD

frinck
关注
iptables防火墙
不知道是谁的博客
03-18 197
文章目录一.iptables概述(一)netfilter/iptables 关系:1.netfilter2.iptables二.四表五链(一)四表(二)五链 一.iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 (一)netfilter/iptables 关系: 1.netfilter 属于“内核态”(Kernel Space,又称为内核空间)的防火墙
Linux 防火墙 iptables
weixin_67033761的博客
06-04 983
1
最全的iptable防火墙详解
08-30
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。 netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。[1]
防火墙
践踏记忆的博客
10-07 804
title: firewall设置 tags: RHCE categories: RHCE abbrlink: 55eac912 date: 2019-05-18 10:40:14 updated: 防火墙一些策略 管理firewalld 要求:server1上使用默认work区域,并且只放行来自server2的https流量 查看默认工作区域 [root@server_1 ~]# firew...
01--Iptables&Firewalld详解
qq_43387908的博客
07-14 1192
简单的安全笔记,Iptables和Firewalld详解,作为知识的补充记录在此
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1747
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
iptables 防火墙设置
q1009020096的博客
09-21 867
清空所有规则,禁止输入、允许转发和输出,打开关键端口。如果需要可以使用下面命令删除已经开放的端口。重启iptables服务生效配置。如果需要可以使用命令关闭防火墙。查看配置当前防火墙配置情况。开机自启,并启动防火墙
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
android流量防火墙iptables原理详解
08-27
Android 流量防火墙 Iptables 原理详解 Android 流量防火墙是一种基于 Iptables防火墙解决方案,旨在限制单个应用的联网状态。Iptables 是一个功能强大的 IP 信息包过滤系统,可以用于添加、编辑和删除规则,...
Linux服务器利用防火墙iptables策略进行端口跳转的方法
09-14
主要介绍了Linux服务器利用防火墙iptables策略进行端口跳转的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Linux 防火墙 iptables filter和nat.pdf
最新发布
08-14
Linux 防火墙 iptables 中 filter(包过滤防火墙)和 nat(路由转换)详解_linux中filter和nat.pdf
linux环境下防火墙 iptables的安装包rpm
10-14
linux环境下防火墙 iptables的安装包rpm,linux环境下防火墙 iptables的安装包rpm
linux 7.0 防火墙,CentOS 7.0,启用iptables防火墙
weixin_35146639的博客
05-12 121
CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙。1、关闭firewall:systemctl stop firewalld.service #停止firewallsystemctl disable firewalld.service #禁止firewall开机启动2、安装iptables防火墙yum install iptables-services #...
Iptables
bjgaocp的博客
03-21 7884
iptables介绍 linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。 iptables基础 我们知道iptabl...
防火墙iptables
孤的博客
06-03 524
防火墙是一组规则。当数据包进出受保护的网络区域时,进出内容(特别是关于其来源、目标和使用的协议等信息)会根据防火墙规则进行检测,以确定是否允许其通过。 一方面, iptables 是 Linux 机器上管理防火墙规则的工具。 另一方面,firewalld 也是 Linux 机器上管理防火墙规则的工具。 另外一种工具,叫做 nftables。 这一切都从 Netfilter 开始,它在 Linux...
CentOS中防火墙相关的命令(CentOS7中演示)
Allen_Gong2016的博客
11-29 479
CentOS中防火墙程序主要是firewall和iptables,CentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum install iptabes-services来安装。 说明:以下演示均在CentOS7中进行,其他版本也大同小异 1、firewall相关的操作 查看防火墙状态 firewa...
linux之防火墙命令firewall、iptable以及端口号等详解诠释(全)
热门推荐
码农研究僧的博客
09-09 1万+
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:systemctl status firewalld 二、使用firewall-cmd配置端口 (1)查看防火墙状态:fir
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值