linux-网络安全&防火墙

网络安全的特征

根据角度不同，网络安全的具体含义也不同，但总体来说，网络安全主要具备以下四个方面的特征。

（1）完整性：指信息在存储、传输过程中不会丢失，并且不会被修改、不会被破坏的特性，即

保持信息“原貌”，这是网络安全最基本的特征。

（2）机密性：指非授权对象无法获取信息而加以利用。

（3）可用性：指被授权对象在需要时可以获取信息并按需求使用。

（4）可控性：指对信息的具体内容及传播能够实现有效的控制。

网络安全的目标

为保证网络信息的传输安全，在信息传输过程中需要防止以下几个问题：

（1）截获：攻击者通过一定的技术手段非法截获网络上传输的信息，进而获取用户的敏感信

息。

（2）伪造：如果用户的身份验证密码在登录时以明文在网络上传输，那么很容易被攻击者截

获。攻击者获取到用户身份后，就会冒充用户身份登录，从而进行非法活动。

（3）篡改：攻击者截获网络信息后修改其内容，使用户无法获得准确、有用的信息，或者落入

攻击者陷阱。

（4）中断：攻击者通过一定的手段中断信息传输双方的正常通信，以达到自己的目的。

（5）重发：攻击者截获用户信息之后，如果这些信息是密文，攻击者并不会破译它们，而是将

这些信息经过处理（如植入木马病毒）再次发送给有关服务器，以达到恶意目的。

威胁网络安全的因素

因素大致可分为三种：

物理因素

人为因素

系统自身因素

网络攻击与防御

 常见的网络攻击类型

目前，网络攻击模式呈现多方位多手段化，让人防不胜防，概括来说，网络攻击可分为四种：

服务拒绝攻击

利用型攻击

信息收集攻击

假消息攻击

常用的防御措施

防火墙技术

认证技术

访问控制技术

数据加密技术

安全协议通信

扫描网络安全漏洞

防火墙分类

硬件防火墙

硬件防火墙有两种结构：普通硬件级别的防火墙和芯片级别防火墙

软件防火墙

软件防火墙是一段特殊程序，它安装在网关服务器或者个人计算机上。

防火墙技术

包过滤技术

应用代理技术

状态检测防火墙

状态检测防火墙的结构是通过一个单独的模块来实现的，此模块主要由以下三个部分构成：

状态跟踪器

状态检测表

协议处理器

 IDS

在计算机中，除了使用防火墙来保护本机安全之外，还有其他多种技术来配合防火墙工作，保证计算机的安全。例如入侵检测系统（IDS）和入侵防御系统（ IPS）等，本节来学习一下入侵检 测系统安全技术。

IDS的工作过程可以分为数据收集、数据分析、结果处理三步。

数据收集

数据分析

结果处理

IDS分类

IDS也可以根据不同的要求分为多种不同的种类，根据系统所监测的对象可以将IDS分为基于主

机的IDS（HIDS）、基于网络的IDS（NIDS）、分布式IDS。

IPS

IPS介绍

IPS是英文“Intrusion Prevention System”的缩写，即入侵防御系统。

PS与传统的IDS有两点关键的区别：自动拦截和在线运行。

相对于IDS的被动检测及误报等问题，IPS是一种比较主动、机智的防御系统。

IPS从技术上基本可以分为三大类：网络型入侵防护系统（NIPS）、主机型入侵防护系统

（HIPS）、应用型入侵防护系统（AIPS）。

iptables

在早期的Linux操作系统中，默认使用的防火墙策略是iptables，而在CentOS7中，使用的是firewalld作为默认的防火墙策略。防火墙管理工具的配置思路是一样的，firewalld的配置规则都 源于iptables

iptables简介

在Linux中，iptables是一款自带的防火墙管理工具，它分为两部分：一部分位于内核中，用来

存放规则，称为netfilter；一部分在用户空间中，用来定义规则，并将规则传递到内核中，在用

户空间的这一部分就叫作iptables，我们通常所说的iptables其实是包含了netfilter与iptables这

两部分。

netfilter将iptables定义的规则按功能分为五个部分：

INPUT：数据包入口过滤，定义数据包由外部发往内部的规则；

OUTPUT：数据包出口过滤，定义数据包由内部发往外部的规则；

FORWARD：转发关卡过滤，数据包不进入用户空间，进行路由转发时的规则；

PREROUTING：路由前过滤，数据包进来，还未查询路由表之前的规则，所有的数据包进 来都要先由这个链进行处理；

POSTROUTING：路由后过滤，查询完路由表，数据将要出去的规则，所有发送出去的数据 包都要由这个链进行处理。

iptables状态检测

iptables中的状态检测功能是由state选项来实现的，state是一个用逗号隔开的列表，列表中存

储的不同状态的连接分组，有效的状态选项包括：

NEW

INVAILD

RELATED

iptables规则编写

管理员可以使用iptables命令添加、删除防火墙规则，iptables命令的基本语法格式如下所示：

iptables [-t 表名] [命令选项] [链名] [规则匹配] [-j 目标动作]

下面对iptables命令中的每一个部分分别进行讲解。

（1）-t指定需要维护的防火墙规则表，不使用-t时，默认操作对象是filter表。

（2）表名、链名指定iptables命令所操作的表和链。

（3）命令选项指定管理iptables规则的方式，如插入、增加、删除、查看等，常用的命令选项 及含义如表所示。

(4）规则匹配用于指定对符合什么规则的数据包进行处理，例如拒绝来自某个IP的数据包、放行

某种协议的数据包等。常用的规则匹配参数如表所示。

 

（5）目标动作用于指定数据包的处理方式，如放行、拒绝、丢弃、跳转等，iptables常用的处

理操作如下：

ACCEPT：允许数据包通过；

REJECT：拒绝数据包，返回数据包并通知对方，进行完此处理动作后，将不再匹配其它规则，

直接中断过滤程序；

DROP：丢弃数据包不予处理，不返回给对方也不通知对方，进行完此处理后，将不再匹配其它

规则，直接中断过滤程序；

REDIRECT：将数据包重新导向到另一个端口，进行完此处理操作后，数据包将会继续匹配其它

规则；

MASQUERADE：改写数据包来源IP为防火墙IP，可以指定端口对应的范围，进行完此处理操作

后，直接跳往下一个规则链（mangle:POSTROUTING）；

LOG：将数据包相关信息记录在/var/log中，进行完此处理操作后，将会继续匹配其它规则；

SNAT：改写数据包来源IP为某特定IP或IP范围，可以指定端口对应的范围，进行完此处理操作

后，将直接跳往下一个规则链（mangle:POSTROUTING）；

DNAT：改写数据包目的IP地址为特定的IP地址或IP范围，可以指定端口对应的范围，进行完此

处理操作后，将直接跳往下一个规则链（mangle:POSTROUTING）；

QUEUE：中断过滤程序，将数据包放入队列，交给其他程序处理；

RETURN：结束在目前规则链中的过滤程序，返回主规则链继续过滤，如果把自定义规则链看

成是一个子程序，那么这个操作，就相当于提早结束子程序并返回到主程序中；

MARK：将数据包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理操作

后，将会继续匹配其它规则。

firewalld

CentOS7集成了多款防火墙管理工具，其中firewalld（Dynamic Firewall Manager of Linux system，Linux系统的动态防火墙管理器）服务是默认的防火墙配置管理工具。

 firewalld简介

firewalld常见的区域及相应的策略规则如表所示。

 命令行管理方式

firewalld使用firewall-cmd命令配置管理防火墙，其配置思路和iptables是一样的，只是参数大

多是以长格式形式来提供的，常用的参数如表所示。

 

firewalld配置防火墙规则时有两个模式：运行时模式（Runtime）和永久模式（ Permanent）。

默认是运行时模式，即配置规则立即生效(定义的规则是存储在内存中，重启之后规则会丢失)

当使用 --permanent 参数时是永久模式（规则会写入配置文件），此模式下配置的规则需要重

启系统才能生效。如果要使永久模式下配置的规则立即生效，则需要手动执行 firewalld-cmd –

reload（自动加载配置文件） 命令。