防火墙配置及策略

最新推荐文章于 2024-07-19 11:29:24 发布
最新推荐文章于 2024-07-19 11:29:24 发布
阅读量342 收藏 1
点赞数
文章标签: linux 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73792056/article/details/134315018
版权

目录

防火墙,防火墙的配置和策略。

1、安全技术:

2、保护范围:

3、iptables就是包过滤防火墙

3.1通信的五要素和四要素

3.1.1五要素:

3.1.2四要素:

4、iptables由四个表组成:

4.1每个表都有5个链

4.2格式:

4.2.1管理选项:

4.2.2匹配条件:

4.2.3控制类型:

4.2.4规则内的匹配顺序:

4.2.5匹配规则:

防火墙,防火墙的配置和策略。

1、安全技术:

入侵检测系统:特点是不阻断网络的访问,量化,定位的方式来锁定内外网络的危险情况,提供告警服务和事后监督为主。没有任何主动行为。

入侵防御系统:以透明模式进行工作,分析数据包,木马,病毒,服务器攻击等等进行准确的分析判断。判定之后立刻阻断。

主动的有效的保护网络安全。

是所有数据进入指定网络的必经之路。

防火墙就是防御入侵系统(人工配置或者系统预设):隔离,工作在网络或者主机的边缘。

对进出网络或者主机的数据包基于一定的规则的检查,而且在匹配到某规则时,又规则的定义做出相应的处理动作。只有允许策略的数据包,才能够通过。

防水墙:ensp不透明的工作方式,你干什么都有记录,但你自己不知道。

2、保护范围:

主机防火墙:只能保护当前一台主机。

网络防火墙:可以保护整个防火墙另一侧的局域网。

按网络协议:网络层防火墙(iptables firewalld 包过滤防火墙)和应用层防火墙

3、iptables就是包过滤防火墙

3.1通信的五要素和四要素
3.1.1五要素:

源ip和目的ip

源端口和目的端口

协议(tcpludp)

3.1.2四要素:

源ip和目的ip

源端口和目的端口

iptables:属于用户态防火墙

用户态:面向使用对象,我们就是实用工具,配置策略。

内核态:代码层(开发)

iptables的配置规则生效之后,立即生效,无需重启。

centos7 以前,iptables是默认配置,现在默认的是firewalld。

7以后要使用iptables要把firewalld关闭。

4、iptables由四个表组成:

row表:控制数据包的状态跟踪,可以决定是都跳过后续的处理(关闭还是启用数据包的跟踪机制,加快数据包穿越防火墙的速度)

mangle表:修改数据包的头部信息(修改数据包的标记位规则)

nat表:用于网络地址转换,可以改变数据包的源ip地址和目的ip地址

filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,已经时候接受或者拒绝数据包。

4.1每个表都有5个链

INPUT链:数据包进入本机的规则

OUTPUT链:数据包出本机的规则

PRERROUTING链:数据包进入本机之前,是否需要做地址转换

POSTROUTING链:数据包离开本机是否需要做地址转发

FORWARD链:是否允许数据包通过本机进行转发

四个表-----5个链-----每个链里面都有对应的规则

规则就是我们人工配置的策略。

数据包进入本机之后,匹配表是由优先级的

row-------mangle-------nat--------filter

iptables命令的格式和相关选项:

4.2格式:

iptables -t 表名 管理选项链名 匹配条件 -j 控制类型

不加 -t 表名 默认就是filter表

不加链名,就是指所有链,不推荐如此操作。

4.2.1管理选项:

-A :在指定链的末尾追加一条

-I(大写i):在指定链中插入一条新的规则,根据编号来进行插入,不指定序号,直接插入当前链中的第一条(不推荐)

-P:指定默认策略

-D:删除规则

-R:修改或者替换规则(不推荐)

-L:查看

v:显示详细信息

n:所有字段以数字形式显示

-F:清空链当中的所有规则(慎用)

-X:清空自定义链的规则

4.2.2匹配条件:

-p∶指定匹配数据包的协议类型

-s:指定匹配数据包的源ip地址

-d:指定匹配数据包的目的ip地址

-i:指定数据包进入本机的网络接口

-o:指定数据包离开本机使用的网络接口

--sport:指定源端口

--dport:指定目的端口

4.2.3控制类型:

ACCEPT:允许数据包通过

DROT:直接丢弃数据包,没有任何回应信息

REJECT:拒绝数据包通过,会给一个响应信息

SNAT:修改数据包的源地址

DNAT:修改数据包的目的地址

4.2.4规则内的匹配顺序:

自上向下按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中招不到规则,则会按照该链的默认策略处理。

1、如果策略已保存过,写配置文件中的,保存,导入到iptables,重启服务器即可

2、机房调整

3、炸

-m iprange --src-range源ip范围

-m iprange --dst-range目的ip范围

-m mac --mac-source mac地址

-m mac --mac-destination mac地址

-i 数据的入口设备

-o 数据的出口设备

iptables -A INPUT -i ens33 -s 192.168.246.11,192.168.246.12 -j DROP

第一:

四表五链

表里有链,链里有规则

row----mangle----nat----filter

INPUT

OUTPUT

PREROUTING

POSTROUTING

FORWRAD

4.2.5匹配规则:

从上到下按照顺序依次检查,找到匹配的规则立刻停止匹配。找到匹配规则,会按照链的默认规则进行执行。

如果不指定表名:默认就是filter

iptables -t filter -A

末尾添加

iptables -t filter -I

指定编号追加

-D删除

-R:修改或者替换规则(不推荐)

-L:查看

v:显示详细信息

n:所有字段以数字形式显示

-F:清空链当中的所有规则(慎用)

-p∶指定匹配数据包的协议类型

-s:指定匹配数据包的源ip地址

-d:指定匹配数据包的目的ip地址

-i:指定数据包进入本机的网络接口

-o:指定数据包离开本机使用的网络接口

--sport:指定源端口

--dport:指定目的端口

-j控制类型

ACCEPT

REJECT 回显消息

DROP直接丢弃,没有任何消息

SNAT源地址转换

DNAT目的地址转换

又双叒叕报错啦
关注
防火墙安全策略配置
qq_44197252的博客
07-02 8926
建立网络拓扑图,防火墙的接口0/0/0用于连接PC,PC的网段192.168.5.0,PC访问服务器需要经过防火墙的筛选;防火墙的接口0/0/1 用于连接网段192.168.1.0中的服务器,当网段192.168.5.0中的PC访问服务器时,只有符合要求的IP才能访问。网络拓扑图如下图所示: 对防火墙的接口进行配置,分别让接口0/0/0连接PC,接口0/0/1连接服务器,并且规定PC端的网段为192.168.5.0,服务器端的网段为192.168.1.0,如下图所示: 在防火墙中加入信任区域,..
华三防火墙安全策略配置
热门推荐
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
防火墙策略未遵循一致的安全策略原则,如最小权限原则,导致不同防火墙策略松紧不一
ZOMO的博客
07-19 872
随着互联网的飞速发展,网络安全问题日益严重。防火墙作为网络安全的第一道防线,其策略管理的有效性和合理性变得至关重要。然而,在实际应用中,防火墙策略往往未遵循一致的安全策略原则,如最小权限原则,导致不同防火墙策略松紧不一,给网络安全带来隐患。本文旨在通过引入人工智能(AI)技术,对防火墙策略管理和策略分析进行优化,以降低安全风险。
防火墙策略是否实现最小权限原则?
ZOMO的博客
02-17 1511
随着网络技术的飞速发展以及信息化程度的日益提高, 企业和组织的信息系统面临着越来越严峻的安全威胁和挑战. 为了有效保护企业和组织的重要信息资产及网络安全环境, 防火墙作为一种主要的网络安全设备已经成为企业网络安全的必备防线之一. 然而在实际应用中,不少企业的防火墙策略并未遵循着严格的最小权限原则(Principle of Least Privilege),导致不必要的安全风险和资源浪费. 因此如何设计并有效地实施符合最小权限原则的企业级防火醙策略显得尤为重要.
部署ISA防火墙策略的十六条守则
RENYUAN
01-24 747
1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。 2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。 3、针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。 4、当需要使用拒绝时,显式拒绝是首要考虑的方式。 5、在不影
防火墙针对一个方向规划的策略
qq_50981675的博客
09-20 673
解释 之前学习的是从一个安全区域到另一个安全区域进方向或者出方向的的动作,比如,从trust到untrust域,允许(允许/拒绝就是这个动作)数据包进,或者允许数据包出。 本次学习,是对一个方向制定策略,例如,一个区域内有很多地址,只允许一个地址在这个方向里通信。(这是我自己的理解,错误之处,还请正,多谢!) 根据实验学习 拓扑如如下 要求: 1、PC1可以访问 server1,但不能访问PC3 2、不添加trust到dmz的进方向包过滤,实现让dmz域访问10.0.0.1 前面的准备 首先配好每个接口
规则影响分析:防火墙策略规划的好帮手
weixin_33836874的博客
04-23 163
网络安全设备的强度取决于它的规则和策略防火墙可以对入站和出站信息都设立规则。入站规则旨在阻止恶意***,而出站规则则保护数据不会被发送到未经授权的远程位置。由于***不断地破坏网络规则,因而,确保你的防火墙足够“牢固”变得至关重要。许多企业面临的问题是,规则优化不是一次性的任务,而是需要不断的分析审查,此外,大多数企业网络都有成千上万条规则,这也使得手动执行分析任务变得异常困难。也就是说,安全管...
防火墙安全策略(基本配置
2301_78439235的博客
07-10 6168
此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入定的接口视图。
防火墙策略配置
BerL1n
09-26 7396
拓扑 任务一 c2 ping c1 ,c1 not ping c2 首先我们要做的就是配置接口、网关、子网掩码,使得c1与c2可以互ping 如上图,我们先开启两个客户机,为方便测试。 命令 sys sysname FW dis ip int br 查看状态 int g0/0/1 ip add 192.168.2.1 24 int g0/0/2 ip add 192.168.1.1 ...
防火墙---策略配置
angelliusa的博客
01-28 568
天融信防火墙策略配置方法
06-15
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any ...
防火墙 配置OSPF,创建各个区域
08-17
防火墙 配置OSPF,创建各个区域
防火墙配置策略-实验手册
最新发布
07-30
九道关,为国家培养网络安全人才,系统安全部分,仅实验手册不含靶场虚拟机
防火墙开放安全策略申请表_.pdf
10-11
防火墙开放安全策略申请表_.pdf
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 6749
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
防火墙安全策略
qq_57289939的博客
03-17 5711
目录防火墙安全策略实验图 1.配置防火墙图形界面 先添加UDP端口 添加网段网卡 启动防火墙FW1 查找防火墙 0/0/0 端口默认的IP地址 将地址与回环端口的地址改为同一网段 放行策略,RTPS协议 测试 输入图形化界面的访问地址 登陆刚才设置的用户名以及密码 2.配置untrust区域 点击网络,进入接口 配置GE1/0/0接口
防火墙的相关技术
m0_75209491的博客
10-06 214
iptables -N 链名 #添加自定义链iptables -E 原链名 新链名 #给自定义链改名iptables -I 新链名 1 -p icmp -j ACCEPT #给自定义链里面添加规则把自定义规则添加到系统链之下iptables -I INPUT 1 -p icmp -j 自定义链名 #把自定义链中的规则添加到系统的链当中先删除添加在系统链内的自定义规则,再删除自定义链当中的规则,再删自定义链iptables -vnL --line-numbers #查看表。
主机防火墙配置模板linux,主机防火墙的设置与优化
weixin_34846784的博客
05-13 516
一、设置主机防火墙。开放: 服务器的:web服务、vsftpd 文件服务、ssh远程连接服务、ping 请求。1、开放sshd服务开放流入本地主机,22端口的数据报文。[root@stu13~]#iptables-AINPUT--destination192.168.60.99-ptcp--dport22-jACCEPT开放从本地主机22端口流出的数据报文[root@stu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值