防火墙基本配置

最新推荐文章于 2024-08-20 08:38:55 发布
最新推荐文章于 2024-08-20 08:38:55 发布
阅读量6.3k 收藏 21
点赞数 2
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50627257/article/details/120128314
版权

防火墙

种类

1.包过滤技术 「 静态防火墙 动态防火墙 」
netfilter 真正的配置
位于linux内核的包过滤功能体系
称为linux防火墙的“内核态”
iptables 防火墙的配置 工具
主要针对 网络层 针对IP数据包 「体现在对包的IP地址、端口等信息处理」

  • 链表结构
    链 ---- 容纳 规则
    表 ---- 容纳 规则链
  • 规则链
    规则的作用:对数据包进行过滤或处理
    链的作用:容纳各种防火墙规则
    链的分类依据:处理数据包的不同时机
  • 默认规则链
    INPUT: 处理入站 数据包
    OUTPUT:处理出站数据包
    FORWARD:处理转发数据包
    POSTROUTING: 在进行路由选择 后 处理数据包
    PREROUTING: 在进行路由选择 前 处理数据包
  • 规则表
    表的作用: 容纳各种规则链
    表的划分依据:防火墙规则作用相似
  • 默认规则表
    raw表 – 确定是否对该数据包进行状态跟踪
    mangle表 – 为数据包设置标记
    nat表 – 修改数据包中的源、目标IP地址或端口
    filter表 – 确定是否放行该数据包(过滤)
    2.应用代理技术
    3.状态检测技术

默认链表结构

iptables -t filter -L | grep -i chain | grep -i policy

图1

规则表之间的顺序
raw -> mangle -> nat -> filter
入站:PREROUTING -> INPUT
出站:OUTPUT -> POSTROUTING
转发:PREROUTING -> FORWARD -> POSTROUTING
规则链内的匹配顺序
按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配的规则,则按该链的默认策略处理

基本语法

语法构成:iptables 「-t 表名」 选项 「链名」 「条件」 「-j 控制类型」
例如: iptables -t filter -I INPUT -p icmp  -j REJECT

  • 注意:
    不指定 表名时,,默认指filter表
    不指定 链名时,,默认指表内 所有的链
    除非设置链的默认策略,否则必须指定匹配条件
    选项、链名、控制类型使用大写字母,其余均为小写
    数据包常见控制类型:
    ACCEPT: 允许通过
    DROP:直接丢弃,不给任何回应
    REJECT:拒绝通过,必要时会给回应
    LOG:记录日志信息,传给下一个规则继续匹配
    写链时,只有 ACCEPT DROP 两种
    -A 末尾追加 -I在链开头 指定 -L 列出条目 -n 以数字形式显示地址、端口
    -v 更详细信息显示 --line-numbers 查看规则时,显示规则的序号
    -D 删除指定 -F 清空所有 -P 为指定链设置默认规则 -Z 清空数据统计
    图2
    图3
    图4
  • 规则匹配条件
    1.通用匹配(正常 普通)
    可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件
    协议匹配:-p 协议名
    地址匹配:-s 源地址 -d 目的地址
    接口匹配:-i 入站网卡 -o 出站网卡
    iptables -I
    2.隐含匹配(隐藏 特定)
    特定协议匹配作为前提,包括 端口、TCP、ICMP类型等条件
    端口匹配:–sport 源端口 --dport 目的端口
    TCP标记类型:–tcp-flags 检查范围 被设置的标记
    ICMP类型匹配:–icmp-type ICMP类型

3.显示匹配(加 扩展)
-m 扩展模块 ,多端口、mac地址、IP范围、数据包状态

防火墙的选择

iptables() firewalld(daemon 动态防火墙)
不允许两者同时使用
systemctl mask firewalld.service 禁用该服务(mask禁用后,enable start都没用了)
systemctl unmask firewalld.service 解禁该服务
禁掉iptables,启用firewalld
图4

防火墙的状态及配置

内存状态下 能支持的服务,永久状态下能支持的服务
图6
列端口
[root@localhost ~]# firewall-cmd --list-ports

[root@localhost ~]# firewall-cmd --list-ports --permanent
放行一个服务 ,就相当于 放行了该服务的端口

直接加 重载服务
永久加 重载服务
两者都加 不需重载 都能查看
图6
两边都增加
图7
移除服务或端口
图8

  • 加 端口时 ,注意后面写上端口所属的协议类型,否则会报错
    图9

富规则

添加服务
图10
添加端口
图3

图形化的firewall

firewall-cmd --state
firewall-config 启动防火墙配置
图5
默认区域 有9个
可自己添加

端口转发

[root@localhost ~]# ls /usr/lib/firewalld/zones/
block.xml dmz.xml drop.xml external.xml home.xml internal.xml public.xml trusted.xml work.xml
[root@localhost ~]# firewall-cmd --set-
–set-default-zone= --set-log-denied=

设置默认区域
block.xml 拒绝大多数 (没有明确的允许就是拒绝)dmz.xml 军事管理区 与网络内容进行交互
drop.xml 丢弃规则 (大多数请求不做响应)
external.xml 外部区域
home.xml 常用 在家里设置一条规则
internal.xml 内部区域
public.xml 公共开放 防火墙 的规则一般所写的都在这里
trusted.xml 非常信任的环境 没有端口被拒绝
work.xml 工作环境

西蔚蓝
关注
如何配置防火墙?看这篇就够了
wuli1024的博客
11-27 1万+
例如,一个企业按图 1-3 划分防火墙的安全区域,内网接口加入 trust 安全区域,外网接口加入 untrust 安全区域,服务器区接口加入 dmz 安全区域,另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置 local 到其他安全区域的安全策略。另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel 接口等,这些逻辑接口在使用时也需要加入安全区域。
三、防火墙配置(1)---防火墙常规配置
qq_43168364的博客
04-19 7382
一、实验内容 1、在GNS中创建如下图所示的网络拓扑结构。 2、给路由器和防火墙按照拓扑图中的规划,配置好IP地址和路由表。给R1、R2、R4、R6开启远程连接。 3、验证防火墙默认安全规则,高安全级别接口(inside)可主动访问低安全级别接口(outside);低安全级别接口(outside)不能主动访问高安全级别接口(inside)。 4、在防火墙配置ACL,使R1和R2可以ping通...
53 张图详解防火墙的 55 个知识点,超详细
最新发布
ICT系统集成阿祥
08-20 1044
图解防火墙,55 个知识点,53 张配图,一次看懂防火墙!1、什么是防火墙防火墙( Firewall )是防止火灾发生时,火势烧到其它区域,使用由防火材料砌的墙。后来这个词语引入到了网络中,把从外向内的网络入侵行为看做是火灾,防止这种入侵的策略叫做防火墙。后来,防火墙不但用于防范外网,例如:对企业内网的 DoS 攻击或非法访问等,也开始防范从内部网络向互联网泄露信息、把内部网络作为攻击跳板等行为...
防火墙基本配置
weixin_57243925的博客
03-16 2849
防火墙基本作用是保护特定网络免受”不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
网络防火墙配置与管理
weixin_33908217的博客
09-13 1153
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。防火墙(Firewall),是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗***能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 一、网...
华为USG6390防火墙基本配置.pdf
11-02
华为USG6390防火墙基本配置 华为USG6390防火墙是一款高性能的防火墙设备,通常用于企业网中的安全防护。下面是华为USG6390防火墙基本配置过程: Telnet 配置 Telnet 是一种远程登陆协议,允许用户远程登陆...
ASA防火墙基本配置管理
01-30
注意:security-level配置安全级别。默认外网接口为0/0 安全级别默认为0内网接口为0/1安全级别默认为100dmz接口为0/2安全级别默认为50默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:#same-...
PIX防火墙基本配置命令和配置实例参考.pdf
02-22
PIX防火墙基本配置命令和配置实例参考.pdf
实验防火墙基本配置.pdf
09-06
实验防火墙基本配置.pdf
网络工程师配置安全设备,防火墙基本配置管理
Bert_Wang的博客
05-31 1417
防火墙配置管理
防火墙基础配置
m0_52333150的博客
03-12 3731
防火墙基础配置
防火墙的基础配置(一)
zljszn的博客
10-10 4311
USG6000V1-policy-security]default action permit //默认全部流量都放行。destination-address 100.1.1.0 mask 255.255.255.0 //设置目标地址。source-address 10.1.1.0 mask 255.255.255.0 //设置源地址。destination-zone untrust //设置目标区域。source-zone trust //设置源区域。
防火墙配置基础
热门推荐
zainwei1766的专栏
12-29 1万+
1、配置接口IP,并划到对应的安全域zone。 2、配置路由。 3、配置防火墙策略(这个一定要配置),如      policy from "l2-untrust" to "l2-trust"          rule id 2          action permit          src-addr "Any"         dst-addr "Any"
防火墙配置【最详细的实验演示】
ZL_1618的博客
03-09 1290
以上操作可定义一个名称为new,优先级为60的安全域。
防火墙安全配置
Ideone的博客
03-18 2648
此时用PC1 ping PC 2,即使两台PC是同一网段,依旧是无法ping通,原因也是在防火墙上存在一条安全策略默认拒绝所有,所以我们需要编写一条安全策略来实现trust区域与untrust区域的通信,由于此时我们使用的是二层协议,所以我们需要添加VLAN ID。路由器ping防火墙,即使路由器与防火墙为直连,但是依旧是无法ping通的,原因是在配置防火墙时,没有启用访问管理,设置启动访问管理,并选择放通ping流量即可ping通。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
三、防火墙基本配置
weixin_45761101的博客
05-02 2235
配置文件管理 <USG6000>save 如果不保存相应的配置,在断电或者重启之后就会丢失原来的配置。 <USG6000>reboot 重启 <USG6000>startup saved-configuration vrpcfg.cfg 配置下次重启时的配置文件 基础命令 进入命令行接口 CLI (Command LineInterface) 。 1、帮助命令 任意命令视图下,输入"? "获取该命令视图下所有的命令及其简单描述。 快捷键:当用户输
ensp防火墙基本配置
10-16
好的,ensp防火墙基本配置的步骤如下: 1. 进入ensp模拟器,选择需要配置防火墙的设备。 2. 进入设备的配置模式,输入命令:firewall enable,开启防火墙功能。 3. 配置ACL规则,限制进出设备的流量。例如,可以配置允许某些IP地址或端口通过,禁止其他IP地址或端口通过。 4. 配置NAT规则,将内部私有IP地址转换为公网IP地址,实现内网访问外网的功能。 5. 配置安全策略,限制设备的管理权限,防止非法用户对设备进行攻击或篡改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值