安全技术和防火墙

安全技术和防火墙

安全技术

入侵检测系统：特点是不阻断网络访问，主要是提供报警和事后监督，不主动介入，默默的看着你（监控）

入侵防御机制：透明模式工作，数据包，网络监控，服务攻击，木马，蠕虫，系统漏洞等等进行准确的分析和判断。

在判定攻击行为后立即阻断。主动的防御（所有数据在进入本机之前，必须通过的设备或者软件）

防火墙：隔离，工作在网络或者主机的边缘（处于内网和外网之间）

对网络或者主机的数据包基于一定的规则进行检查。匹配到的规则

放行 拒绝（数据包将会被丢弃）

只开放允许访问的策略。（白名单机制，拒绝所有，允许个别）

防水墙：是一种防止内部信息泄露的产品，对外有防火墙的功能，对内是透明工作模式，类似监控

事前，事中，事后都知道。

防火墙

iptables ：这是linux自带的防火墙，一般用于内部配置，对外一般不使用（对外都是用专业的，）

firwalld：linux自带的防火墙，centos7以后默认的防火墙

包过滤防火墙（是对数据包进行控制）

网络层对数据包进行选择，选择的依据是防火墙设置的策略

策略：IP地址，端口，协议。

优点，处理速度快，易于维护

缺点，无法检查应用层数据，病毒无法进行处理

应用层防火墙：在应用层对数据进行检查，比较安全

优点：更安全，问题可以精确定位

缺点：所有数据都会检查，增加防火墙的负载

iptables 工作在网络层，对数据包实施过滤和限制，包过滤防火墙

通信的五大要素和四大要素

五大要素：源ip目标ip 源端口 目的端口 协议

四要素：源ip 目的 ip 源端口 目的端口

内核态和用户态：

内核态：设计到软件的底层代码或者是系统的基层逻辑，以及一些硬件的编码。

开发人员更关注内核态

数据如果是内核态处理，速度相对比较快。

iptables的过滤规则就是有内核进行控制的。

用户态：

应用层软件层面，人为控制的一系列操作，使用功能，

数据只通过用户态处理，速度是比较慢的

iptables的配置和策略*

四表五链*

四表

raw表：用于控制数据包的状态，跟踪数据包的状态

mangle表：修改数据包的头部信息

NAT表：网络地址转换，可以改变数据包的源地址和目的地址

filter表：也是iptables的默认表，不做声明，默认就是filter表，过滤数据包的进出，以及接收和拒绝数据包

五链

PREHOUTING链：处理数据包进入本机之前的规则（NAT表）

INPUT链：处理数据包进入本机的规则（fillter表，是否允许数据包进入）

OUTPUT 链：处理本机发出的数据包规则，或者是数据包离开的本机规则（fillter表，一般不做设置）

FORWARD链：处理数据包转发到其他主机的规则，或者是允许本机进行数据转发

postrouting链：处理数据包离开本机的规则（NAT表）

表里有链，链里有表

第二种情况，请求和响应的过程 http或https

管理选项：在表的链中插入，增加，删除，查看规则。

匹配条件：数据包的IP地址，端口，协议

控制类型，允许，拒绝，丢弃。

注意事项：

1、不指定表名，默认就是fillter表

2、不指定链名，默认就是所有链 （禁止行为。）

3、除非设置了链的默认策略，否则必须执行匹配条件（一般都是指定的匹配条件）

4、选项，链名和控制类型都是大写，其余都是小写

控制类型

（所有控制类前面都是-j）

ACCEPT：允许数据包通过

DROP：直接丢弃数据包，没有任何回应信息

REJECT：拒绝数据包通过，数据包也会被丢弃，但是会有一个响应的信息。

SNAT：修改数据包的源地址

DNAT：修改数据包的目的地址。

管理选项：

-A 在链中添加一条规则，在链尾添加。

-l 指定位置插入一条规则。

-P 指定了默认规则一般都是设置成拒绝（默认是允许。）

-D 删除规则

-R 修改规则（慎用）

-vnL：v是显示详细信息，n数字形式展示内容，L查看

–line numbers：显示规则的编号，和查看一起使用

-F ：清空链中的所有规则（慎用）

-X：清除自定义链中的规则

匹配条件

-P：指定协议类型

-s：指定匹配的目的IP地址

-d：指定匹配的目的ip地址

-i：指定数据包进入本机的网络设备

-o：指定数据包离开本机的网络设备

–sport：指定源端口

–dport：制定目的的端口

实验步骤

关闭防火墙

yum -y install iptables iptables-services安装软件

enble开机自启

iptables命令格式

iptables[-t表明]管理选项 链名 （大写）匹配条件[-j 控制类型]

所有控制类前面都是-j

iptables -L 查看规则

iptables -vnL --line-number
 vnL详细展示       以数字形式

添加规则

iptables -F 清空

iptables -L

格式

iptables -A INPUT -P icmp -j REJECT 拒绝所有主机ping本机

iptables -A INPUT -p icmp -j ACCEPT 还是不通

匹配规则：

每个链中的规则都是从上到下的顺序匹配，匹配到之后不再向下匹配

如果链中没有规则，则执行链的默认策略进行执行

iptables -vnL --line-number

iptables -I INPUT 1 -p icmp -j ACCEPT

指定IP地址

iptables -A INPUT -s 目标地址 -p icmp -j REJECT

iptables -A INPUT -s 20.0.0.20 -p icmp -j REJECT 
[root@test1 opt]# iptables -vnL --line-number
Chain INPUT (policy ACCEPT 68 packets, 5366 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        4   336 REJECT     icmp --  *      *       20.0.0.20            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 35 packets, 2788 bytes)
num   pkts bytes target     prot opt in     out     source               destination  
[root@test2 opt]# ping 20.0.0.10
PING 20.0.0.10 (20.0.0.10) 56(84) bytes of data.
From 20.0.0.10 icmp_seq=1 Destination Port Unreachable
From 20.0.0.10 icmp_seq=2 Destination Port Unreachable
From 20.0.0.10 icmp_seq=3 Destination Port Unreachable
From 20.0.0.10 icmp_seq=4 Destination Port Unreachable

指定多个ip

iptables -A INPUT -s 目标地址，目标地址 -p icmp -j DROP

（中间需要用“，”隔开）

iptables -A INPUT -s 20.0.0.20,20.0.0.30 -p icmp -j REJECT 
[root@test1 opt]# iptables -vnL --line-number
Chain INPUT (policy ACCEPT 62 packets, 3856 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     icmp --  *      *       20.0.0.20            0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     icmp --  *      *       20.0.0.30            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 29 packets, 2216 bytes)
num   pkts bytes target     prot opt in     out     source               destination  
主机二
[root@test2 opt]# ping 20.0.0.10
PING 20.0.0.10 (20.0.0.10) 56(84) bytes of data.
From 20.0.0.10 icmp_seq=1 Destination Port Unreachable
From 20.0.0.10 icmp_seq=2 Destination Port Unreachable
From 20.0.0.10 icmp_seq=3 Destination Port Unreachable
主机三
 ping 20.0.0.10
PING 20.0.0.10 (20.0.0.10) 56(84) bytes of data.
From 20.0.0.10 icmp_seq=1 Destination Port Unreachable
From 20.0.0.10 icmp_seq=2 Destination Port Unreachable
From 20.0.0.10 icmp_seq=3 Destination Port Unreachable

指定端口

iptables -A INPUT -p tcp --dport 22 -j REJECT 断开22端口所有连接：xshell会直接断开然后进去虚拟机重启一下这个服务

iptables -A INPUT -s目的IP地址 -p tcp --dport 22 -j REJECT限制用户登录

ssh root@20.0.0.20
The authenticity of host '20.0.0.20 (20.0.0.20)' can't be established.
ECDSA key fingerprint is SHA256:+XQL+rFHCzoLCvoOqlfd5P9iMHBTXdUgtdg2qjiAgfk.
ECDSA key fingerprint is MD5:30:61:c4:d3:f7:a1:c4:b8:19:49:20:4f:9b:0a:5b:b1.
Are you sure you want to continue connecting (yes/no)? yes    
Warning: Permanently added '20.0.0.20' (ECDSA) to the list of known hosts.
root@20.0.0.20's password: 
Last login: Wed Jun 26 08:51:11 2024 from 20.0.0.1
[root@test2 ~]# exit
登出
Connection to 20.0.0.20 closed.
[root@test3 opt]# ssh root@20.0.0.20
ssh: connect to host 20.0.0.20 port 22: Connection refused

拒绝访问nginx

systemctl restart nginx.service 
[root@test2 opt]# iptables -F
[root@test2 opt]# iptables -A INPUT -s 20.0.0.30 -p tcp --dport 80 -j REJECT
另一台主机
curl 20.0.0.20
curl: (7) Failed connect to 20.0.0.20:80; 拒绝连接

删除规则

# iptables -A INPUT -s 20.0.0.20 -p tcp --dport 80 -j ACCEPT 
[root@test1 opt]# iptables -A INPUT -s 20.0.0.20 -p tcp --dport 80 -j DROP 
iptables -vnL --line-number
Chain INPUT (policy ACCEPT 80 packets, 5488 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       20.0.0.20            0.0.0.0/0            tcp dpt:80
2        0     0 DROP       tcp  --  *      *       20.0.0.20            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 47 packets, 3844 bytes)
num   pkts bytes target     prot opt in     out     source  
删除规则
iptables -D INPUT 2
[root@test1 opt]# iptables -vnL --line-number
Chain INPUT (policy ACCEPT 88 packets, 5430 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       20.0.0.20            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 50 packets, 3808 bytes)
num   pkts bytes target     prot opt in     out     source               destination      

修改策略

 iptables -vnL --line-numbers  查看当前的规则
Chain INPUT (policy ACCEPT 6 packets, 364 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        6   393 ACCEPT     tcp  --  *      *       20.0.0.30            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 9 packets, 5741 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
[root@test2 opt]# iptables -R INPUT 1 -s 20.0.0.30 -p tcp --dport 80 -j REJECT   这是替换
查看另一台虚拟机
curl 20.0.0.20
curl: (7) Failed connect to 20.0.0.20:80; 拒绝连接

修改链

修改链的默认策略基本 上不会用

拒绝整个网段

curl 20.0.0.20
curl: (7) Failed connect to 20.0.0.20:80; 拒绝连接

禁止多个端口

一次静止多个端口进行操作

-m 扩展模块，一次性禁止多端口 ip范围 指定mac地址

iptables -F

iptables -A IN -p

mariadb

需要用逗号隔开

IP地址范围 这中间的范围不能连接到该主机

匹配mac地址