目录
一、安全技术
1.安全技术
①入侵检测系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。
②入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。
③防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。
2.防火墙分类
①按保护范围划分
主机防火墙:服务范围为当前一台主机。
网络防火墙:服务范围为防火墙一侧的局域网。
②按实现方式划分
硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,华为、深信服等。
软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙 ISA --> Forefront。
③按网络协议划分
包过滤防火墙:只对osi模型下四层生效,速度快拆包少。
网络层防火墙:OSI模型下四层,又称为包过滤防火墙。
应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层。
二、防火墙
1.iptables五表五链
①五表
secure表:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现。
raw表:关闭启用的连接跟踪机制,加快封包穿越防火墙速度。
mangel表:修改数据标记位规则表。
nat表:地址转换规则表。
filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包,默认表为filter表。
②五链
INPUT链:处理入站数据包。
OUTPUT链:处理出站数据包。
FORWARD链:转发数据包。
PREROUTING链:处理路由选择前数据包。
POSTROUTING链:处理路由选择后数据包。