Firewall--防火墙设置(iptables,firewalld)

最新推荐文章于 2024-06-21 00:50:55 发布
最新推荐文章于 2024-06-21 00:50:55 发布
阅读量1.7k 收藏 12
点赞数 1
分类专栏: RHCE 文章标签: firewalld iptabls firewall 防火墙 包过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42707739/article/details/106032722
版权

防火墙

防火墙的分类

1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 
2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为 < 单一主机防火墙、分布式防火路由器集成式防火墙和墙三种。 
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。 
5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。

第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称 “个人防火墙”。软件 防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙 最出名的莫过于Checkpoint。使用这类 防火墙,需要网管对所工作的操作系统平台比较熟悉。

第二种:硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用 的硬件平台。目前 市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区 别。在这些PC架构计算机上运行一些经过 裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由 于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四 端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。

第三种:芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。 做这类防火墙最 出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不 过价格相对比 较高昂。

linux防火墙

防火墙的核心是数据报文过滤
工作在主机或者网络的边缘,对进出的数据报文进行检查,监控,并且能够根据事先定义的匹配条件和规则做出相应的动作的组件,机制或者系统。
linux一般都是作为服务器系统来使用,对外提供一些基于网络的服务
通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能

Iptables -A INPUT -s 172.16.20.85 -d 172.16.20.78 -p icmp --icmp-type  8 -j REJECT
Iptables -A OUTPUT -s 172.16.20.78 -d 172.16.20.85 -p icmp --icmp-type 0 -j REJECT
常见的访问控制包括:哪些ip可以访问服务器、可以使用哪些协议、哪些接口,是否通过数据包进行修改等
如:服务器可能受到来自某个ip攻击,这时就需要禁止所有来自ip的访问

防火墙功能

1.可以保护易受攻击服务;
2.控制内外网之间网络系统的访问;
3.集中管理内网的安全性,降低管理成本;
4.提高网络的保密性和私有性;
5.记录网络的使用状态,为安全规划和网络维护提供依据

包过滤防火墙原理示意图:
先进行过滤规则匹配,然后判断是否转发数据包。
在这里插入图片描述
linux内核集成了网络控制功能。通过netfilter模块来实现。

linux内核通过netfilter模块实现网络访问控制功能,在用户层我们可以通过iptables程序对netfilter进行控制管理。iptables 是一个应用层的应用程序,它通过 Netfilter 放出的接口来对存放在内核内存中的 XXtable(Netfilter的配置表)进行修改。这个XXtables由 表tables、链chains、规则rules组成,iptables在应用层负责修改这个规则文件。类似的应用程序还有 firewalld 。
netfilter可以对数据进行允许、丢弃、拒绝。

静态防火墙

每次修改设置以后,都需要重新启动配置,方可生效,基于5链4表来实现。
iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,而如果 配置了需要 reload 内核模块的话,过程背后还会包含卸载和重新加载内核模块的动作,而不幸的是,这 个动作很可能对运行中的系统产生额外的不良影响,特别是在网络非常繁忙的系统中。(静态防火墙)

访问控制五元组:保障网络安全
 源ip  数据报文从哪来
 目ip  数据报文从哪去
 源端口   1--1024预定义端口  
 目的端口
 传输协议

五链四表

INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则。     Mangle   filter   
OUTPUT链:当防火墙本机向外发送数据包(出站)时,应用此链中的规则。        Mangle   nat  filter   raw
FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用此链中的规则。   Mangle  filter 
PREROUTING链:在对数据包作路由选择之前,应用此链中的规则,如DNAT。        Raw  mangle   nat      
POSTROUTING链:在对数据包作路由选择之后,应用此链中的规则,如SNAT。      Raw   mangle nat

filter表     数据包过滤
主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT)。filter 表对应的内 核模块为iptable_filter

nat表   地址转换
主要用于修改数据包的IP地址、端口号等信息(网络地址转换SNAT、DNAT)。属于一个流的包(因为包的大小限制导致 数据可能会被分成多个数据包)只会经过这个表一次。

 mangle报文重构   
拆解报文,作出修改并重新封装的功能Qos 
修改IP包头的TTL值,这样也可以保护我们的主机,比如我们将Linux主机送出的封包内的TTL值该为128,让Cracker误以为是Windows系 统。另外,TTL(生存周期,每经过一个路由器将1.mangle可以修改此值设定TTL要被增加的值,比如–ttl-inc 4。假设一个进来的包
最低0.47元/天 解锁文章
暖风吹起云
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 12.0设置上网应用白名单(上网app白名单)
安卓兼职framework和app工程师的博客
05-27 3837
在12.0的产品rom定制开发中,在对产品进行网络模块开发中,有功能需要要求设置某些app可以上网,某些app不可以上网,就是所谓的网络应用白名单功能
firewall-cmd命令.txt
09-16
3、firewalld防火墙有两个管理工具,命令行工具:firewall-cmd,图型化的管理工具:firewall-config 。也可以直接编辑XML文件(官方不建议使用些方法)。 4、frewall-cmd创建防火墙规则分基本规则与富规则(Rich ...
JuniperSRX Filter-Based Forwarding
weixin_34111790的博客
01-02 319
就是策略路由1) 创建routing-instance(SP1,SP2),instance-type为fowardingedit routing-instance [SP1] instance-type forwadingset routing-options static route 0/0 nex-hop 202.100.1.1edit routing-insta...
运维iptablesfirewalld详解
最新发布
专注于输出具有实用价值的软件运维经验及教程
06-21 1811
关于iptablesfirewalld 的关键概念、常用操作、各自优势特点的详细记录。
基于虚拟设备搭建Docker Container网络模式
jiayu的博客
08-28 233
基于虚拟设备搭建Docker Container网络模式 Docker命令 # 创建一个nginx [root@docker ~]# docker run -d -P --net=bridge --name nginx nginx b6119c06485a68c5c5a0a17e6d74072ff02569e2d850ed2e1144e89495f8ee4d # 由于mysql要与nginx进行关联,所以不能在物理主机上进行端口映射 [root@docker ~]# docker run -d --ne
虚拟服务器需要ipv6,CentOS宿主机中开启IPv6给虚拟机使用的必要配置
weixin_36432438的博客
08-10 536
折腾了好一会儿,做个记录以备后用firewall-cmd --permanent --direct --passthrough ipv6 -I FORWARD -i br0 -j ACCEPTfirewall-cmd --permanent --direct --passthrough ipv6 -I FORWARD -o br0 -j ACCEPTfirewall-cmd --reloadip6...
linux下防火墙配置,linux下防火墙的配置
weixin_35677144的博客
05-12 165
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?如果大家是使用一键环境(如:lnmp.org),有时候防火墙会被设置成正式环境一样,当你是用作测试服务器的时候,这样就很不方便了。 因此,在这里记录一下linux下防火墙的配置: 地址是:/etc/sysconfig/iptables# Firewall configuration written by system-c...
CentOS 7 中firewall-cmd命令详细介绍
01-10
CentOS 7 中firewall-cmd命令 在 CentOS 7 暂时开放 ftp 服务 # firewall-cmd –add-service=ftp ...# systemctl restart firewalld 检查设定是否生效 # iptables -L -n | grep 21 ACCEPT tcp — 0.0.0.0/0 
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 防火墙配置使用方法 iptablesfirewalld 是 Linux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍...
Linux系统firewall-cmd 命令详解.docx
02-07
firewalld 自身并不具备防火墙的功能,而是和 iptables 一样需要通过内核的 netfilter 来实现,也就是说 firewalldiptables 一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的 netfilter,但 ...
Android11 iptables实现网络白名单
夏夏的博客
11-27 1787
`iptables`是`Linux`系统的`IP`信息过滤工具,实际就是一个`Linux`命令,通过这个命令,可以对整个系统发出去的,接收到的,以及转发的进行拦截、修改、拒绝等操作。刚好`Android`也是基于`Linux`内核的系统,也集成了`iptables`,是否可以用它来限制上网行为呢?经过试验,发现是可行的。
学习笔记(八):FIREWALL配置与使用
徐金宝的博客
10-24 2407
防火墙借助硬件和软件在内部和外部网络之间产生一种保护屏障,防火墙配置好且启用的情况下,将是不同网络或网络安全域之间信息的唯一出入口,能够设置安全策略控制网络的信息流,保障内部网络的安全。 本文对防火墙原理以及防火墙工具做了介绍
Android之防火墙功能的实现
STN_LCD的专栏
05-26 1433
http://blog.csdn.net/zhangyongfeiyong/article/details/52524220 版权声明:本文为博主原创文章,未经博主允许不得转载。 需求:可以控制某个应用访问WIFI或移动网络的功能。 Android自带防火墙原理是:一旦开启防火墙,所有的应用都不能访问网络(括WIFI和移动网络),所以不能满足需求,故需要在原
anddroid 11 NetworkManagementService接口setFirewallUidRule 变化分析
研究员的自我修养
09-15 969
背景 android 11的接口setFirewallUidRule 使用中 发现设置有问题 对比了下新系统流程 找到变更 流程分析 INetworkManagementService.aidl void setFirewallUidRule(int chain, int uid, int rule); void setFirewallUidRules(int chain, in int[] uids, in int[] rules); NetworkManagementServic
Android 8.1 Doze模式分析(二)对网络的限制
liu362732346的博客
01-21 3298
在第一篇Android 8.1 Doze模式分析(一)我们知道,进入idle模式后调用NetworkPolicyManagerService.java的setDeviceIdleMode()对网络进行限制,现在我们就开始分析网络限制的流程 @Override public void setDeviceIdleMode(boolean enabled) { mCo...
Linux防火墙firewall-cmd学习笔记.2021年1月25日
开源大熊的博客
01-25 464
当下的主流红帽系Linux版本是 Red Hat Enterprise Linux 8 和 CentOS 8,系统默认的防火墙也从iptables换成firewalldfirewalld最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效。firewalld在使用上要比iptables人性化很多,即使不明白“四表五链”而且对TCP/ip协议也不理解也可以实现大部
Android关于Iptable和BPF的切换
apu的专栏
08-05 1153
最近在做一个项目,发现修改FIREWALL_CHAIN_POWERSAVE里调用enableFirewallChainUL,却打印iptables信息时完全没有相关信息。 1、NetworkManagementService.java里通过setFirewallUidRules设置防火墙规则,三条现有规则如下: FIREWALL_CHAIN_POWERSAVE: mNetdService.firewallReplaceUidChain("fw_powersave", true, uids...
Android iptables实现网络防火墙
Jimmy的专栏
07-25 2540
iptables实现网络防火墙
Failed to start firewalld - dynamic firewall daemon
05-16
1. Another firewall service, such as iptables, is running and conflicting with firewalld. 2. The firewalld service is not installed on your system. 3. The firewalld service is disabled. To ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值