防火墙的配置和策略

已于 2023-11-09 16:36:49 修改
阅读量911 收藏 2
点赞数
文章标签: 网络
于 2023-11-06 17:12:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64441401/article/details/134244700
版权

1 安全技术

1-1 入侵检测系统

入侵检测系统:特点是不阻断网络访问,会通过量化、定位的方式来锁定内外网络的危险情况,提供告警服务和事后监督为主,没有任何主动行为。

1-2 入侵防御系统

入侵防御系统:以透明模式工作,分析数据包,木马、病毒、服务攻击等等进行准确的分析判断。判定之后立刻阻断。主动的有效的保护网络安全,是所有数据进入网络的必经之路。

1-3 防火墙

防火墙就是入侵防御系统(人工配置或系统预设)

防火墙的主要作用:隔离,工作在网络或者主机边缘。对进出网络或者主机的数据包基于一定规则的检查,而且在匹配到某规则时,规则的定义做出相应的处理动作。只有运行策略的数据包,才能够通过。

额外话题:

防水墙:ensp,不透明的工作方式,你干什么都有记录,但是你自己不知道。

2 保护范围

2-1 范围

保护范围:

  • 主机防火墙:只能保护当前一台主机。
  • 网络防火墙:可以保护整个防火墙另一侧的局域网。

2-2 按网络协议区分保护范围

按网络协议:

  • 网络层防火墙
  • 应用层防火墙

3 iptables

3-1 iptables

iptables:包过滤防火墙,属于用户态防火墙。
用户态:面向使用对象,我们就是使用工具,配置策略。
内核态:代码层(开发)
iptables的配置规则生效之后,立即生效,无须重启。
centos7以前,iptables是默认配置,限制默认是firewalld。
centos7以后要使用iptables,要把firewalld关闭。两者二选一。

3-2 iptables的组成

iptables由四个表组成:
row表:控制数据包的状态跟踪,可以决定是否跳过后续的处理。(关闭还是启用数据包的跟踪机制,加快数据包穿越防火墙的速度)
mangle表:修改数据包的头部信息(修改数据包的标记位规则)。
nat表:用于网络地址转换。可以改变数据包的源ip地址和目的ip地址。
filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,以及任何时候接受或者拒绝数据包。
每个表都有链:5个链:
INPUT链:数据包进入本机的规则。
OUTPUT链:数据包出本机的规则。
PRERROUTING链:数据包进入本机之前,是否要做地址转换。
POSTROUTING链:数据包离开本机是否要做地址转发。
FORWARD链:是否允许数据包通过本机进行转发。
总结:四个表包含五个链,每个链里面都有对应的规则。
规则就是我们人工配置的策略。

数据包进入本机之后,匹配表是有优先级的。
row.........mangle...........nat...........filer

3-3 iptables命令的格式和相关选项

格式:iptables -t 表名 管理选项 链名 匹配条件 -j  控制类型
不加-t 表名 默认就是filter表
不加链名,就是指所有链,不推荐如此操作。

管理选项:

  • -A:在指定链的末尾追加一条
  • -I:在指定链中插入一条新的规则,根据编号来进行插入,不指定序号则会直接插入当前链中的第一条(不推荐)。
  • -P:指定默认策略。
  • -D:删除规则。
  • -R:修改或者替换规则(不推荐)
  • -L:查看。
  • v:显示详细信息。
  • n:所有字段以数字形式显示。
  • -F:清空链当中的所有规则(慎用)。
  • -X:清空自定义链的规则。

匹配条件:

  • -p:指定匹配数据包的协议类型。
  • -s:指定匹配数据包的源ip地址。
  • -d:指定匹配数据包的目的ip地址。
  • -i:指定数据包进入本机的网络接口。
  • -o:指定数据包离开本机使用的网络接口。
  • --sport:指定源端口。
  • --dport:指定目的端口。

控制类型:

  • ACCPET:允许数据包通过。
  • DROP:直接丢弃数据包,没有任何回应信息。
  • REJECT:拒绝数据包通过,会给一个响应信息。
  • SNAT:修改数据包的源地址。
  • DNAT:修改数据包的目的地址。

显示匹配:以-m 扩展模块形式指出类型 多端口 MAC地址 IP范围。

  • -m iprange -src--range源IP范围
  • -m iprange -dst--range目的IP地址
  • -m mac --mac-source mac地址
  • -m mac --mac-dinstinc

规则内的匹配顺序:
自上向下,按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中找不到规则,则会按照该链的默认策略处理。

1、如果策略已保存过,写在配置文件中的,保存,导入到iptables,重启服务器即可。
2、机房调整。
3、炸。
踩缝纫机:1年-3年,情节严重5年。

注意:工作中发现服务无法启动不要去关防火墙,因为生产的防火墙都是白名单,一旦关闭就是全部拒绝访问。清空防火墙策略,就踩缝纫机。

-i 数据的入口设备
-o 数据的出口设备

导入配置文件之前,源文件一定要备份!

4 自定义链

ipables还可以做地址的转换

4-1 SNAT

SNAT:源地址转换。内网访问外网,内网的ip地址转换成可以和外网通信的ip地址。

4-2 DNAT

DNAT:目的地址转换,内部地址映射到一个或者是一组公网地址。将内部私网地址映射成公网地址,公网地址可以直接对外提供访问服务。

SNAT和DNAT核心:就是地址转换

口诀:内到外,要换源;外到内,转目的。

戚风要谦虚
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙安全策略配置
qq_44197252的博客
07-02 8747
建立网络拓扑图,防火墙的接口0/0/0用于连接PC,PC的网段192.168.5.0,PC访问服务器需要经过防火墙的筛选;防火墙的接口0/0/1 用于连接网段192.168.1.0中的服务器,当网段192.168.5.0中的PC访问服务器时,只有符合要求的IP才能访问。网络拓扑图如下图所示: 对防火墙的接口进行配置,分别让接口0/0/0连接PC,接口0/0/1连接服务器,并且规定PC端的网段为192.168.5.0,服务器端的网段为192.168.1.0,如下图所示: 在防火墙中加入信任区域,..
防火墙web管理以及安全策略配置
chouchouche的博客
05-12 2315
拓扑: 注意: 1、用cooper线连接拓扑 2、防火墙有个特殊接口(管理接口),专门用来管理和使用web页面,通常跟云连接在一起(防火墙G0.0.0端口和云连接) 步骤: 1、主机和网络设备的基础配置 cloud配置 主机配置(PC2、PC3同理) 防火墙端口ip配置 dis ip interface brief 可查看各个端口的ip地址 2、划分安全区域 dis zone可查看安全区域划分情况 3、安全策略配置 注意源地址和目的地址后面跟的是...
防火墙安全策略
weixin_49283635的博客
01-14 1633
Interface: GigabitEthernet1/0/2 NextHop: 10.1.3.2 MAC: 00e0-fcb0-3b49 // 流量的出接口,下一跳的IP地址、下一跳的mac地址。Zone: trust --> internet TTL: 00:00:20 Left: 00:00:13 //区域 TTL指的是该会话表的存活时间 ,left指的是存活的剩余时间。对于防火墙始发的或者抵达防火墙自身的OSPF/BGP/DHCP/IP-Link等流量,不受安全策略的限制。
防火墙基础配置
m0_52333150的博客
03-12 3644
防火墙基础配置
防火墙技术基础篇:配置基本转发策略(安全策略
最新发布
qq_39241682的博客
05-23 797
安全策略指的是用于保护网络的规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力,以保证网络的安全。为了避免歧义,通常把针对一个组织的安全策略称为信息安全策略(Information Security Policy),而把后者称为防火墙安全策略(Firewall Security Policy,有时也简称为防火墙策略Firewall Policy)、防火墙规则(Firewall Rule)。
三、防御保护---防火墙安全策略
M372109150的博客
01-29 1849
安全策略是实施访问控制和安全检查的基础,本篇介绍安全策略的基本概念以及华为防火墙产品上安全的一系列策略。传统的包过滤防火墙 — 其本质为ACL列表,根据数据报中的特征进行过滤,之后对比规制,执行动作。五元组 — 源IP,目标IP,源端口,目标端口,协议安全策略— 相较于ACL的改进之处在于,首先,可以在更细的颗粒度下匹配流量,另一方面是可以完成内容安全的检测。安全策略:1,访问控制(允许和拒绝)2,内容检测 — 如果允许通过,则可以进行内容检测。
防火墙策略
windy_12138的博客
09-09 4744
防火墙
配置公司内网的防火墙安全区域和策略配置NAT访问1.1.1.1
weixin_72584149的博客
01-28 452
1.先配二层的交换机LSW7,生产区在vlan 2 ,办公区在vlan 3 ,g0/0/1 是access类型 ,g0/0/2是 access类型 , g0/0/3是trunk类型。2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10。如上操作,在创建一个vlan Tag为3的,安全区域为BG的,IP为10.0.2.1/24的g1/0/3.2的子接口。配置g1/0/0接口IP地址为10.0.3.1/24。
天融信防火墙策略配置方法
06-15
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any ...
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
AIX中配置防火墙策略.doc
09-07
为了保护 AIX 服务器,避免不必要的访问,最好的办法就是在 AIX 中实施 IP 过滤规则。在 AIX 中我们通过设置 IP 过滤规则 (IP Security Filter),只接受预先定义好的访问请求而拒绝其他的访问的请求。
防火墙配置.pdf
06-04
linux操作系统的网络安全配置 有需要的可以看看 适合小白入门级别
ISA防火墙策略配置
09-05
ISA防火墙策略配置 配置2006 2004 等,攻与防的配置
防火墙-安全策略配置2.0》
weixin_52439435的博客
05-24 1929
防火墙-安全策略配置2.0》
防御保护---防火墙(安全策略、NAT策略实验)
M372109150的博客
01-25 1665
此次实验主要是以web界面的形式来配置防火墙,所以在上图中防火墙与cloud连接(不需要交换机也可),为了在web界面管理防火墙,web界面相对来说比较友好,可以直观的看出各种配置及条目。1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器; 2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10 3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理 4.办公设备可以访问公网,但是其他区域不行。
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置
热门推荐
Richardlygo的博客
11-24 1万+
实验要求 根据实验要求配置防火墙: 合理部署防火墙安全策略以及安全区域 实现内网用户可以访问外网用户,反之不能访问 内网用户和外网用户均可以访问公司服务器 实验配置 步骤一:配置各个终端、防火墙端口IP地址 终端以服务器为例: 防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙 防火墙端口配置地址: [USG6000V1]sy FW1 //修改名称 [FW1]un in en //关闭提示信息 Info
ensp保存防火墙配置
03-27
ensp是一种用于保存防火墙配置的命令,它可以将当前防火墙配置保存到指定的文件中,以便在需要时进行恢复或备份。以下是使用ensp保存防火墙配置的步骤: 1. 登录到防火墙设备的命令行界面。 2. 进入特权模式,通常使用"enable"命令。 3. 进入全局配置模式,通常使用"configure terminal"命令。 4. 使用"ensp"命令来保存防火墙配置。例如,可以使用"ensp flash:config.txt"命令将配置保存到设备的闪存中的config.txt文件中。 5. 配置保存完成后,可以使用"exit"命令退出全局配置模式。 6. 最后,使用"write memory"命令将配置保存到设备的非易失性存储器中,以便在设备重启后配置能够生效。 请注意,具体的命令和步骤可能会因不同的防火墙设备而有所差异。建议查阅设备的官方文档或参考相关的操作手册以获取准确的命令和步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值