Linux系统安全技术 防火墙iptables

最新推荐文章于 2025-05-01 00:15:00 发布
最新推荐文章于 2025-05-01 00:15:00 发布
阅读量1.1k 收藏 11
点赞数 25
文章标签: linux 系统安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mikechen1/article/details/135972712
版权
本文详细介绍了Linux系统中的安全技术,包括入侵检测系统、入侵防御系统和防火墙的区别,重点阐述了iptables防火墙的工作原理、分类、规则表与链结构,以及如何安装、管理和配置iptables规则,包括通用匹配、隐含匹配和显式匹配的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Linux系统安全技术

        入侵检测系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。

        入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。(必经之路)

        防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.
        防水墙(Waterwall),与防火墙相对,是一种防止内部信息泄漏的安全产品。   网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径,在事前、事  中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

策略是对文件后缀   .doc   .txt 进程名word.exe 进行封锁加密🔐

二、防火墙的分类

2.1 按保护范围划分

  • 主机防火墙:服务范围为当前一台主机

  • 网络防火墙:服务范围为防火墙一侧的局域网

2.2 按实现方式划分

  • 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为, 山石hillstone,天融信,启明星辰,绿盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen(Juniper2004年40亿美元收购)等

  • 软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙 ISA --> Forefront

2.3 按网络协议划分

  • 网络层防火墙:OSI模型下四层,又称为包过滤防火墙

  • 应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层

三、Linux的防火墙

 3.1 什么是iptables工具

        Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter和 iptables 组成。

        主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

        iptables位于/sbin/iptables
        用来管理防火墙规则的工具称为Linux防火墙的“用户态”
        它使插入、修改和删除数据包过滤表中的规则变得容易
        netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。

        表中所有规则配置后,立即生效,不需要重启服务。

3.2 iptables防火墙默认规则表、链结构

iptables由五个表table和五个链chain以及一些规则组成:

数据包到达防火墙时,规则表之间的优先顺序:  raw > mangle > nat > filter

三、iptables的四表五链

3.1四表

raw表∶ 确定是否对该数据包进行状态跟踪

mangle表∶为数据包设置标记

nat表∶ 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口

filter表;负责过滤数据包, 确定是否放行该数据包(过滤)

3.2.五链

NPUT∶ 处理入站数据包,匹配目标IP为本机的数据包。

OUTPUT∶处理出站数据包,一般不在此锌上,做配置。

FORWARD∶ 处理转发数据包,匹配流经本机的数据包。

PREROUTING链∶ 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的工P和端口映射到路由器的外网IP和端口上。

POSTROUTING链∶ 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网工P地址上网

3.3 四表五链总结

规则表的作用∶容纳各种规则链

规则链的作用∶容纳各种防火墙规则

表里有链,链里有规则

3.4 规则链之间的匹配顺序

        入站数据(来自外界的数据包,且目标地址是防火墙本机)∶ PREROUTING --> INPUT --> 本机的应用程序
        出站数据(从防火墙本机向外部地址发送的数据包)∶ 本机的应用程序 --> OUTPUT -->         POSTROUTING网络型防火墙∶
转发数据(需要经过防火墙转发的数据包)∶ PREROUTING -->

最低0.47元/天 解锁文章
网络高瘦
关注
Linux网络安全
weixin_45320930的博客
08-26 574
一、Linux网络服务: 通信设备+传输介质(网线)+计算机(个人PC)及其上的软件 = 计算机网络 计算机通信:服务协议 + 操作系统 网络风暴:数据在网络 MAC地址:物理地址 IP地址(网络地址) 1、OSI七层模型 应用层:为应用程序提供服务。 | 表示层:数据的格式化。(翻译) | 会话层:点对点连接,保证通信建立、维持、终止。 | 传输层:提供端对端的数据交换机制,连接。------包...
Linux安全【iptables防火墙
m0_61187759的博客
05-21 993
iptables
Linux网络安全之经验谈
yishao的专栏
01-06 1133
一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!   为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可
linux防火墙配置
最新发布
zxy98的专栏
05-01 863
linux 防火墙配置
Linux系统面临的攻击、风险及其安全加固和维护策略(附下载)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-23 3752
Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。PAM是Linux上的可插拨认证模块机制,通过提供一些动态链接库和一套统一的api,将系统提供的服务和该服务的认证方式分开,使得系统管理呐可以根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。umask(默认文件权限666,文件夹777) 为用户创建权限掩码,是创建文件或文件夹时默认权限的基础,用户在创建时,文件的默认权限-掩码的权限就是文件的实际权限。
Linux 防火墙 IPtables 全攻略》.pdf
10-27
Linux防火墙iptables是一种基于内核的防火墙软件,具有网络流量过滤功能。iptables主要通过NetFilter来实现规则的存放和执行,而iptables则运行在用户空间,负责定义规则并将它们传递给NetFilter。iptables中的规则...
Linux系统防火墙IPTables
没有网络安全就没有国家安全
08-23 897
本篇文章详细讲解Linux防火墙IPTables,包含基础用法和进阶用法
Linuxiptables防火墙
A6985HG的博客
07-30 2228
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
linux 网络安全不完全笔记
weixin_33782386的博客
03-08 228
一、安装Centos二、Linux网络网络环境设置 a.配置linux与客户机相连通 b.配置linux上网三、Yum详解 yum 的基本操作 a.使用 yum 安装新软件 yum install –y Software b.使用 yum 更新软件 yum update –y Software c.使用 yum 移除软件 yum remove –y Software d.使用...
浅谈基于linux系统的网站防护方法.pdf
09-06
浅谈基于linux系统的网站防护方法.pdf
linux】之网络安全
qq_35302220的博客
01-17 6245
linux】之网络安全
Linux防火墙iptables篇)
cxs123678的博客
04-15 298
防火墙,可以理解为网络访问控制,常用的网络访问控制有:哪些IP可以访问服务器, 可以使用哪些协议,哪些接口,是否需要对数据包进行修改等。 一、SELinux SELinuxLinux特有的一种安全机制,因这种机制的限制太多,配置也较繁琐,所以将它关闭即可! getenforce #查看SELinux的状态 #Disabled setenforce 0 #临时关闭SELinux...
Linux系统安全
网络安全研究
11-05 6822
Linux 中,用户层的所有操作,都可以抽象为“主体 -> 请求 -> 客体”这么一个流程。在这个过程中,Linux 内核安全提供了基于权限的访问控制,确保数据不被其他操作获取。
网络安全—Linux命令
weixin_46694260的博客
05-13 5430
熟练掌握运用Linux命令,在红/蓝队的工作岗位上,解决一些问题的效率,会让你意想不到,让我们一起来领略Linux世界的精彩吧~
linux-网络安全&防火墙
mg1123的博客
10-21 2252
网络安全的特征根据角度不同,网络安全的具体含义也不同,但总体来说,网络安全主要具备以下四个方面的特征。(1)完整性:指信息在存储、传输过程中不会丢失,并且不会被修改、不会被破坏的特性,即保持信息“原貌”,这是网络安全最基本的特征。(2)机密性:指非授权对象无法获取信息而加以利用。(3)可用性:指被授权对象在需要时可以获取信息并按需求使用。(4)可控性:指对信息的具体内容及传播能够实现有效的控制。
网络安全——Linux基础
qq_45430571的博客
03-25 4420
网络安全——Linux基础 前言 上一阶段完成了VM虚拟机安装和centos6操作系统的安装,接下来讲解一下Linux一些基础知识。 Linux基础 一些常用的Linux命令: ls:显示当前目录下的文件 cd:前往 pwd:显示当前位置 … Linux的目录结构 bin目录 cd / #前往根目录 ls #查看当前目录下的文件 cd bin #前往bin目录 cd .. #返回上一级目录 ls #查看bin目录下的文件 以下为实操: 可以看到,bin目录下存放的都是一些命令,例如:ls,cat,pw
Linux网络安全精要 William Bo Rothwell
qq_31220203的博客
02-25 5972
linux 系统学习笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值