安全技术和防火墙:

最新推荐文章于 2024-09-17 20:39:29 发布
最新推荐文章于 2024-09-17 20:39:29 发布
阅读量681 收藏 16
点赞数 13
文章标签: 网络 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71178834/article/details/139989875
版权

安全技术和防火墙:

安全技术

入侵检测系统:特点是不阻断网络访问,主要是提供报警和事后监督。不主动介入,默默的看着你(监控)

入侵防御系统:透明模式工作,数据包,网络监控,服务攻击,木马,蠕虫,系统漏洞等等进行准确的分析和判断。

在判定攻击行为后会立即阻断。主动的防御(所有的数据在进入本机之前,必须要通过的设备或者软件)。

防火墙

防火墙:隔离,工作在网络或者主机的边缘。

对网络或者主机的数据包基于一定的规则进行检查。匹配到的规则

放行,拒绝(数据包将会被就丢弃)。

只开放允许访问的策略。(白名单机制,拒绝所有,允许个别)

防水墙

防水墙:是一种防止内部信息泄露的产品。对外有防火墙的功能,对内是透明模式工作。类似监控。

事前,事中,事后都知道。

防火墙:

iptables 这个是linux自带的防火墙,一般用于内部配置。对外一般不适用(对外都使用专业的。)

firewalld 这个也是linux自带的防火墙,是centos7以后默认的防火墙。

包过滤防火墙(数据包进行控制)

网络层对数据包进行选择,选择的依据就是防火墙设置的策略。

策略:IP地址,端口。协议。

优点:处理速度快,易于维护

缺点:无法检测应用层数据,病毒无法进行处理。

应用层防火墙:在应用层对数据进行检查,比较安全。

优点:更安全,问题可以精准定位。

缺点:所有数据都会检查,增加防火墙的负载。

iptables:工作在网络层,针对数据包实施过滤和限制。包过滤防火墙

通信的要素:五大要素和四大要素

五大要素:源ip 目的ip 源端口 目的端口 协议(tcp/upd)

四要素:源ip,目的ip 源端口 目的端口

内核态和用户态:

内核态:涉及到软件的底层代码或者是系统的基层逻辑,以及一些硬件的编码。

开发人员更关注内核态

数据如果是内核态处理,速度相对较快。

iptables的过滤规则就是由内核来进行控制。

用户态:

应用层软件层面,人为控制的一系列操作,使用功能。

运维人员我们只考虑用户态。用

数据只通过用户态处理,速度是比较慢的

iptables的配置和策略:

四表五链:

iptables的四表:

raw表:用于控制数据包的状态,跟踪数据包的状态。

mangle表:修改数据包的头部信息

NAT表:网络地址转换。可以改变数据包的源地址和目的地址

filter表:也iptables的默认表,不做声明,默认就是filter表,过滤数据包,控制数据包的进出。以及接受和拒绝数据包。

五链:

PREROUTING链:处理数据包进入本机之前的规则(NAT表)

INPUT链:处理数据包进入本机的规则(filter表,是否允许数据包进入)

outpot链:处理本机发出的数据包规则,或者是数据包离开本机的规则(filter表,一般不做设置。)

forward链:处理数据包转发到其他主机的规则,或者是否允许本机进行数据包转发

postrouting链:处理数据包离开本机之后的规则(NAT表)

表里面有链,链里面有规则。

管理选项:在表的链中插入,增加,删除,查看规则。

匹配的条件:数据包的ip地址,端口,协议。

控制类型:允许,拒绝,丢弃。

注意事项:

1、不指定表名,默认就是filter表

2、不指定链名,默认就是所有链,(禁止行为)

3、除非设置了链的默认策略,否则必须指定匹配条件(一般都是指定匹配条件)

4、选项,链名和控制类型都是大写,其余的都是小写。

控制类型:

ACCEPT:允许数据包通过

DROP:直接丢弃数据包没有任何回应信息

REJECT:拒绝数据包通过,数据包也会被丢弃,但是会有一个响应的信息。

SNAT:修改数据包的源地址

DNAT:修改数据包的目的地址。

管理选项:

-t 指定表名

-A 在链中添加一条规则,在链尾添加。

-I 指定位置插入一条规则。

-P 指定链的默认规则,链的规则一般都是设置成拒绝(默认是允许。)

-D 删除规则

-R 修改规则(慎用)

-vnL v显示详细信息,n以数字形式展示内容 L 查看

--line-numbers:显示规则的编号,和查看一起使用

-F 清空链中的所有规则(慎用)

-X 清除自定义链中的规则

匹配条件:

-p 指定协议类型

-s 指定匹配的源ip地址

-d 指定匹配的目的ip地址

-i 指定数据包进入本机的网络设备(ens33)

-o 指定数据包离开本机的网络设备

--sport 指定源端口

--dport 指定目的端口

iptables的命令格式

iptables  [-t  表名]    管理选项    链名(大写)   匹配条件 [-j 控制类型]

所有的控制类型前面都是-j

操作:IP+协议+端口

[root@test2 ~]# systemctl stop firewalld
[root@test2 ~]# setenforce 0
[root@test2 ~]# yum -y install iptables iptables-services
[root@test2 ~]# systemctl restart iptables
[root@test2 ~]# systemctl enable iptables.service
[root@test2 ~]# iptables -L
[root@test2 ~]# iptables -t nat -L
[root@test2 ~]# iptables -vnL
[root@test2 ~]# iptables -vnL --line-numbers

添加规则

[root@test2 ~]# iptables -A INPUT -p icmp -j REJECT     #拒绝其他所有主机ping本机

匹配原则:

每个链的规则都是从上到下的顺序匹配,匹配到之后不再向下匹配。

如果链中没有规则,则执行链的默认策略进行处理

[root@test2 ~]# iptables -F
[root@test2 ~]# iptables -A INPUT -p icmp -j REJECT
From 192.168.60.20 icmp_seq=37 Destination Port Unreachable
From 192.168.60.20 icmp_seq=38 Destination Port Unreachable
[root@test2 ~]# iptables -I INPUT 1 -p icmp -j ACCEPT
64 bytes from 192.168.60.20: icmp_seq=65 ttl=64 time=0.533 ms
64 bytes from 192.168.60.20: icmp_seq=66 ttl=64 time=0.531 ms
64 bytes from 192.168.60.20: icmp_seq=67 ttl=64 time=0.525 ms

拒绝IP

[root@test2 opt]# iptables -A INPUT -s 192.168.60.20 -p icmp -j REJECT  #指定一个IP地址不能访问
[root@test2 opt]# iptables -F
[root@test2 opt]# iptables -A INPUT -s 192.168.60.30,192.168.60.40 -p icmp -j DROP  指定多个IP地址不能访问

拒绝端口

[root@test2 opt]# iptables -A INPUT -p tcp --dport 22 -j REJECT   #协议在前,端口在后。拒绝22端口

同时拒绝ip地址访问我的端口

[root@test2 opt]# iptables-A INPUT -s 192.168.60.30 -p tcp --dport 22 -j REJECT

删除:

[root@test2 opt]# iptables -D INPUT 1           #根据序号来删除        

修改策略:(一般不用)

[root@test2 opt]# iptables -R INPUT 1 -s 192.168.60.40 -p tcp --dport 80 -j REJECT

修改链的策略:(仅限实验)

[root@test2 opt]# iptables -P INPUT DROP

拒绝整个网段:

[root@test2 opt]# iptables -A INPUT -s 192.168.60.0/24 -p tcp --dport 80 -j REJECT 
[root@test2 opt]# curl 192.168.60.20
curl: (7) Failed connect to 192.168.60.20:80; 拒绝连接

一次对多个端口进行操作(小的端口在前,大的端口在后)

iptables -A INPUT -p tcp --dport 22:80 -j REJECT

-m 扩展模块,一次性禁止多端口,ip范围,指定mac地址。

[root@test2 opt]# iptables -A INPUT -p tcp -m multiport --dport 80,22,21,53,3306 -j REJECT 
[root@test2 opt]# iptables -A INPUT -p tcp -m iprange --src-range 192.168.60.30-192.168.60.40 --dport 80 -j REJECT 
--src-range #源地址池
--dst-range #目的地址池
-m multiport --sport #源端口池
-m multiport --dport #目的端口池
-m iprange --src-range #源地址池
-m iprange --dst-range #目的地址池

匹配mac地址

[root@test2 opt]# iptables -A INPUT -m mac --mac-source 00:0c:29:6f:95:d6 -j DROP
星殇曦落
关注
Linux系统安全安全技术防火墙
云计算之路
02-07 4011
本文讲解Linux系统安全中的安全技术防火墙,讲解了iptables的五表五链,iptables使用格式以及各个选项控制类型,扩展模块的使用,详细讲解了如何永久保存iptables规则、如何使用自定义规则链。
神州安全防火墙:配置基本上网
君逍遥o
06-12 1203
PPPOE拨号获取不到地址,重启;透明模式
防火墙安全策略设置/防火墙:一道安全的大门_手把手教白帽子笔记
程序员三九的博客
06-13 726
摘 要: 本文主要介绍了防火墙的作用、特性,以及弱点,并提出了解决策略。 关键词: 防火墙 作用 特性 弱点 解决策略 一、防火墙的作用 网络这个虚拟世界已经变得越来越精彩庞大
防火墙技术安全区域
热门推荐
大河之犬的博客
09-12 1万+
我们在接口GE0/0/1下创建两个子接口GE0/0/1.10和GE0/0/1.20,分别对应VLAN 10和VLAN 20,然后将这两个子接口划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的。安全区域的配置主要包括创建安全区域以及将接口加入安全区域,下面给出了创建一个新的安全区域test,然后将接口GE0/0/1加入该安全区域的过程。源安全区域很容易确定,防火墙从哪个接口接收到报文,该接口所属的安全区域就是报文的源安全区域。
防火墙技术安全策略
大河之犬的博客
09-21 9284
安全策略基于安全区域的域间关系来呈现,其内容包括两个组成部分。条件。检查报文的依据,防火墙将报文中携带的信息与条件逐一对比,以此来判断报文是否匹配。动作。对匹配了条件的报文执行的动作,包括允许通过(permit)或拒绝通过(deny),一条策略中只能有一个动作。安全策略之间是存在顺序的,防火墙在两个安全区域之间转发报文时,会按照从上到下的顺序逐条查找域间存在的安全策略。如果报文命中了某一条安全策略,就会执行该安全策略中的动作,或允许通过或拒绝通过,不会再继续向下查找;
安全技术防火墙——iptables防火墙
zhou641694375的博客
08-29 1359
提示:这里可以添加本文要记录的大概内容:提示:以下是本篇文章正文内容,下面案例可供参考位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包iptables --version 查看版本查看命令的帮助(说明书)......
信息安全防火墙技术原理与应用.
网络安全领域___专研者.
08-11 4376
防火墙网络安全区域边界保护的重要技术。为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:公共外部网络;内联网;外联网(内联网的扩展延伸,常用作组织与合作伙伴之间进行通信);军事缓冲区域,简称 DMZ;它一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成.
安全防护技术防火墙技术
msmxsd的博客
05-26 643
防火墙技术防火墙基本介绍概念与作用发展历程工作原理部署方式 防火墙基本介绍 概念与作用 防火墙是在网络间【内部/外部网络、不同信息级别】提供安全连接的设备,用于实现和执行网络之间通信的安全策略。 防火墙定义:一种高级访问控制设备,用于不同安全域之间通过相关的安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。防止内部网络信息资源的非法访问。 发展历程 从技术发展阶段,分为包过滤、应用代理、状态检测等几大类型 工作原理 处理数据流:快速转发——>接收处理——>规则匹配——&
安全技术防火墙
lcy913的博客
11-29 959
安全技术分为入侵检测系统、入侵防御系统和防火墙三类。入侵检测系统特点是不阻断来自内外网络的威胁情况,主要提供报警和事后监督。入侵防御系统特点是对攻击进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络安全防火墙特点是提供隔离功能,工作在网络或主机边缘,防止有问题的流量进入内网。
安全防御:防火墙概述
AXDRXS的博客
07-14 1123
MGMT --- web管理口 --- G0/0/0 --- 初上配有IP地址192.168.0.1/24,自动开启了web控制以及DHCP的功能。服务器/本地认证 --- 正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不进行本地认证,只有在服务器对接失败的时候,才采取本地认证。IDS可以发现安全风险,可以记录,分析以及反馈,但是,并不会直接处理或者消除风险 --- 一种侧重于风险管理的安全设备 --- 存在一定的滞后性。因素---吞吐量---单位时间内防火墙处理的数据量。
信息安全技术基础:防火墙的DMZ区域.pptx
11-01
信息安全技术基础
信息安全技术基础:防火墙概述.pptx
11-01
信息安全技术基础
网络防火墙:数字世界的守卫者
08-20
4. **网络安全**:开发用于保护网络安全的软件,包括防火墙、入侵检测系统、加密技术等。 5. **网络设备驱动程序开发**:为网络硬件设备编写驱动程序,如网卡、路由器、交换机等。 6. **网络管理工具**:开发用于...
下一代智能防火墙:有效应对最新安全威胁
03-03
iNGFW 是由山石网科开发的创新技术,它采用先进的数据分析方 法,可扫描分析安全和流量数据,同时主动监控系统,提供基于风 险的安全防护。iNGFW 解决方案引入了两个全新指标 :全网健康指 数(NHI)和行为信誉指数(BRI),...
信息安全技术:iptables防火墙.pptx
11-01
信息安全技术基础
Java-网络
2301_81543552的博客
09-14 703
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
4.网络编程
weixin_45476535的博客
09-14 501
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 213
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
linux-网络相关概念
最新发布
zdd56789的博客
09-17 374
linux-网络相关概念
防火墙:构建互联网安全基石
书中还探讨了隧道技术的优缺点,提醒读者理解防火墙并非万能,它有其局限性,不能完全解决所有安全问题。通过阅读这本书,读者不仅能了解防火墙的基本概念,还能掌握如何设计和实施有效的防火墙策略,以增强网络环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值