linux防火墙

最新推荐文章于 2023-11-16 11:19:34 发布
最新推荐文章于 2023-11-16 11:19:34 发布
阅读量316 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59161414/article/details/126302733
版权

目录

前言

一.安全技术

二.nerfilter

三.iptables

四.规则表和规则链

五.四表五链

六.数据包过滤的匹配流程

七.包过滤的工作层次

八.数据包的常见控制类型

前言

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

一.安全技术

1.入侵检测系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署方式。

2.入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。

3.防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone‘非军事化区域’)网络中。

二.nerfilter

1.位于linux内核中的包过滤功能体系
2.称为linux防火墙的“内核态”

三.iptables

1.位于/sbin/iptables,用管理防火墙规则的工具
2.称为linux防火墙的“用户态”

四.规则表和规则链

表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用相似
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机

五.四表五链

RAW表:                  确认是否对该数据包进行状态跟踪
MANGLE表:           为数据包设置标记
NAT表:                   修改数据包中的源、目标IP地址或端口
FILTER表:              确认是否放行该数据包(过滤)
方向控制(具体动作)

INPUT:                   处理入站数据包
OUTPUT:               处理出站数据包
FORWARD:            处理转发数据包
POSTROUTING链:在进行路由选择后处理数据包
PREROUTING链:  在进行路由器选择前处理数据包
具体处理位置(动作执行位置 )

六.数据包过滤的匹配流程

规则表之间的顺序
raw>mangle>nat>filter
规则表之间的顺序
入站:PRERPOUTING>INPUT
出站:OUTPUT>POSTROUTING
转发:PREROUTING>FORWARD>POSTROUTING

入站数据流向:来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理(是 否修改数据包地址等),然后进行路由选择(判断该数据包应发往何处);如果数据包的 目标地址是防火墙本机(如 Internet 用户访问网关的 Web 服务端口),那么内核将其传 递给 INPUT 链进行处(决定是否允许通过等),通过以后再交给系统上层的应用程序 (如 httpd 服务器)进行响应。 - 转发数据流向:来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理,然 后再进行路由选择;如果数据包的目标地址是其他外部地址(如局域网用户通过网关访 问 QQ 服务器),则内核将其传递给 FORWARD 链进行处理(允许转发或拦截、丢弃), 最后交给 POSTROUTING (是否修改数据包的地址等)进行处理。 - 出站数据流向:防火墙本机向外部地址发送的数据包(如在防火墙主机中测试公网 DNS 服务时),首先进行路由选择,确定了输出路径后,再经由OUTPUT 链处理,最后再 交 POSTROUTING 链(是否修改数据包的地址等)进行处理。

七.包过滤的工作层次

1.主要是网络层,针对IP数据包
2.体现在包内的IP地址,端口等信息的处理上

八.数据包的常见控制类型

对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中,最常用的几种控制类型如下。 
- ACCEPT:允许数据包通过。 
- DROP:直接丢弃数据包,不给出任何回 应信息。 
- REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息。 
- LOG:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则。 
- SNAT:修改数据包的源地址。
- DNAT:修改数据包的目的地址。
- MASQUERADE:伪装成一个非固定公网IP地址。

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例,因为 LOG 只是一种辅助动作,并没有真正处理数据包。

花生味花生米
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux——Firewall防火墙(firewalld与iptables两种管理方式)_firewalld 旁路由 透明代理
2401_83620959的博客
05-05 1032
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux防火墙
lltyyds的博客
12-25 3930
一、安全技术和防火墙 1.安全技术 (1)入侵检测系统(Intrusion Detection Systems) 特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式 (2)入侵防御系统(Intrusion Prevention System) 以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以
Linux防火墙——iptables详解
Lqj的博客
04-19 3729
iptables是Linux中的软件防火墙,基于Linux的内核(NetFilter)实现。
Linux防火墙详解
DancingEagle的博客
02-02 510
linux防火墙
Linux防火墙知识简介+命令规则
最新发布
顺其自然~专栏
11-16 391
从内核2.4 之后使用全新的内核包过滤管理工具--iptables,这个工具使用户更易于理解其工作原理,更容易被使用,也具有更强大的功能。iptables只是一个管理内核包过滤的工具,可以加入、修改和删除核心包过滤表格中的规则。实际上真正执行这些过滤规则的是。
Linux防火墙思维导图.xmind
05-23
linux防火墙知识:利用思维导图的形式(包括举例),一张图进行全部详解 1.何为防火墙?2.防火墙的分类 3.iptables原理 4.防火墙顺序 5.iptables语法规则
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
linux防火墙设置
05-22
简单 好用 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 简单 好用
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
Linux iptables防火墙详解防止DDOS
06-21
Linux iptables防火墙详解防止DDOS
Linux系统防火墙iptables
wlc1213812138的博客
06-10 3492
Linux系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙
linux防火墙简单介绍(iptables、iptables.service、firewalld)
紫薯的博客
10-02 714
对于第一次学习linux防火墙的同学来说,各种名词可能会把自己脑袋搞晕,不清楚各个名词之前的关系,我就是如此。网上的资料有很多但是很杂很乱,新出来的ChatGPT比百度好用多了,我在这里进行归纳整理,帮助初学者更好的理解,以下演示环境为centos7。 防火墙主要分为硬件防火墙和软件防火墙,硬件防护墙是专门设计的一台主机,其中的操作系统主要以提供数据包数据的过滤机制为主,将其他不必要的功能拿掉,因此数据包过滤的效率最佳。本文讲解软件防火墙,硬件防护墙这里不讨论。
linux默认防火墙软件,linux防火墙的管理工具firewall-cmd
weixin_36083698的博客
05-04 493
关于firewalld作为内核的管理软件firewall-cmd,通过使用这个软件来间接管理linux内核的开启与关闭等等,而firewall-cmd软件也本身支持firewall-cmd(命令)firewall-config(图形管理工具)两种管理模式来管理kerne lnetfilte。配置文件:/usr/lib/firewalld/和/etc/firewalld/中的各种XML文件里。Fir...
Linux- Linux防火墙概述
鬼刺
01-24 827
1 简介 1)防火墙(Firewal):计算机网络中的防火墙通常连接两个网络,是外部 Internet 和内部网络之间的交汇点,同时也是一道屏障 主要功能:实施安全策略、过滤传输数据、记录Internet 活动、 IP 地址转换、保护内部网络信息 2)防火墙类型:包过滤防火墙,代理防火墙,状态检测防火墙。 包过滤防火墙对通过它的每一个数据包,根据事先制订好的规则,...
RHCE——十、防火墙、iptables、firewalld
钟言的博客
08-28 2822
本篇为学习RHCE的第十部分:防火墙、iptables以及firewalld,详细内容包含了:一、什么是防火墙 1、分类 2、Netfilter(数据包过滤 2.1 定义 2.2 Netfilter分析内容 3、防火墙无法完成的任务4、iptables 与 firewalld 区别二、iptables 1、iptables执行原则 1.1 原则 1.2 防火墙规则 2、规则链 2.1 概念2.2 分析 2.3 规则链分类 2.4 规则链之间的匹配顺序 2.5 iptables 流量处理动作 3、ipta等等
Linux防火墙的基本知识
zt_96123的博客
02-12 510
一、防火墙的分类 1 、包过滤防火墙。 数据包过滤(packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包的源地址和目的地址,所用的端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。 包过滤防火墙的优点是它对用户来说是透明的,处理速度快且易于维护...
重启Linux防火墙
08-27
要重启Linux防火墙,可以使用以下命令: ``` service iptables restart ``` 这个命令会重新启动防火墙并且应用之前的配置。 另外,在CentOS 7上,如果使用的是firewalld防火墙,可以使用以下命令来重新启动防火墙:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值