安全技术和防火墙

防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.

2.防火墙

1.防火墙的分类

按保护范围划分

主机防火墙：服务范围为当前一台主机

网络防火墙：服务范围为防火墙一侧的局域网

按实现方式划分

硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现

软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，Windows 防火墙 ISA --> Forefront

按网络协议划分

网络层防火墙：OSI模型下四层，又称为包过滤防火墙

应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层

2.防火墙原理

收包拆包检查没问题装包

收包拆包检查有问题隔离或者丢弃

正向代理

翻墙代理的是客户端

绕开防火墙机制

加快访问速度

反向代理

代理的是服务端

负载均衡

3.Linux 防火墙的基本认识

1.Netfilter

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中

Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制，是linux内核的一个子系统。Netfilter采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等操作

2.防火墙工具

1.iptables

由软件包iptables提供的命令行工具，工作在用户空间，用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包

[root@localhost ~]# iptables --version
iptables v1.4.21

2.netfilter 中五个勾子函数和报文流向

三种报文流向

流入本机：PREROUTING --> INPUT-->用户空间进程(访问我的服务)

流出本机：用户空间进程 -->OUTPUT--> POSTROUTING（穿过我）

转发：PREROUTING --> FORWARD --> POSTROUTING（分摊流量）

四表五链

四表：
raw：跟踪数据包

mangle：标记优先级

nat：地址转换

filter：流量过滤筛选数据包哪些可以通过哪些不可以通过

五链

input 进入本机的流量

output 出本机的流量

forward 转发数据包

prerouting 路由判断前

postrouting 路由判断后

4.iptables

1.iptables的组成概述

IP 信息包过滤系统，它实际上由两个组件 netfilter 和 iptables组成。

主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

iptables属于“用户态”(User Space，又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。 netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

ptables由四个表table和五个链chain以及一些规则组成

raw：跟踪数据包

mangle：标记优先级

nat：地址转换

filter：流量过滤筛选数据包哪些可以通过哪些不可以通过

优先级的顺序

raw-->mangle-->nat-->filter

表的作用：容纳各种规则链

表的划分依据：防火墙规则

表里有链，链里有规则

数据包的传输过程

当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去

如果数据包是进入本机的，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后到达

如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出

5.实际操作

CentOS7默认使用firewalld防火墙，没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables

基本语法：

iptables -t 指定表子命令指定链规则

所有语法

-A 追加策略 iptables -A INPUT

-I 在序号前插入 iptables -I INPUT 2

-D 删除 iptables -D INPUT 2

-P 修改默认策略 iptables -P INPUT DROP ACCEPT

-F 清空策略 iptables -F

-R 替换策略 iptables -R INPUT 2 新的规则

1.加新的防火墙规则

iptables -t filter -A INPUT -s 192.168.17.130 -j DROP

不允许130主机访问本机

2.查看规则表

iptables -nvL

iptables -vnL --line-numbers

显示规则序号

3.删除、清空、替换规则

删除

-D

删除单个规则

iptables -D INPUT 1

删除规则1

清空

-F

iptables -F INPUT

清空所有的input规则

替换

-R

iptables -A INPUT -s 192.168.17.130 -j DROP

iptables -R INPUT 1 -s 192.168.17.130 -j ACCEPT

策略1不允许访问换成允许130的流量访问

4.修改默认规则（默认是允许通过的黑名单）

iptables -P INPUT DROP

iptables -P INPUT ACCEPT

iptables -I INPUT -s 192.168.17.130 -j REJECT

黑名单拒绝130的所有流量

5. 通用匹配

基本匹配条件：无需加载模块，由iptables/netfilter自行提供

直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件

白名单

配置只能192.168.17.60访问

iptables -P INPUT DROP
iptables -I INPUT 2 -i lo -j ACCEPT
iptables -t filter -A INPUT ! -p icmp -j ACCEPT 
iptables -F
iptables -P INPUT ACCEPT
iptables -A INPUT -s 192.168.17.60 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -j REJECT