1 安全技术
1-1 入侵检测系统
入侵检测系统:特点是不阻断网络访问,会通过量化、定位的方式来锁定内外网络的危险情况,提供告警服务和事后监督为主,没有任何主动行为。
1-2 入侵防御系统
入侵防御系统:以透明模式工作,分析数据包,木马、病毒、服务攻击等等进行准确的分析判断。判定之后立刻阻断。主动的有效的保护网络安全,是所有数据进入网络的必经之路。
1-3 防火墙
防火墙就是入侵防御系统(人工配置或系统预设)
防火墙的主要作用:隔离,工作在网络或者主机边缘。对进出网络或者主机的数据包基于一定规则的检查,而且在匹配到某规则时,规则的定义做出相应的处理动作。只有运行策略的数据包,才能够通过。
额外话题:
防水墙:ensp,不透明的工作方式,你干什么都有记录,但是你自己不知道。
2 保护范围
2-1 范围
保护范围:
- 主机防火墙:只能保护当前一台主机。
- 网络防火墙:可以保护整个防火墙另一侧的局域网。
2-2 按网络协议区分保护范围
按网络协议:
- 网络层防火墙
- 应用层防火墙
3 iptables
3-1 iptables
iptables:包过滤防火墙,属于用户态防火墙。
用户态:面向使用对象,我们就是使用工具,配置策略。
内核态:代码层(开发)
iptables的配置规则生效之后,立即生效,无须重启。
centos7以前,iptables是默认配置,限制默认是firewalld。
centos7以后要使用iptables,要把firewalld关闭。两者二选一。
3-2 iptables的组成
iptables由四个表组成:
row表:控制数据包的状态跟踪,可以决定是否跳过后续的处理。(关闭还是启用数据包的跟踪机制,加快数据包穿越防火墙的速度)
mangle表:修改数据包的头部信息(修改数据包的标记位规则)。
nat表:用于网络地址转换。可以改变数据包的源ip地址和目的ip地址。
filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,以及任何时候接受或者拒绝数据包。
每个表都有链:5个链:
INPUT链:数据包进入本机的规则。
OUTPUT链:数据包出本机的规则。
PRERROUTING链:数据包进入本机之前,是否要做地址转换。
POSTROUTING链:数据包离开本机是否要做地址转发。
FORWARD链:是否允许数据包通过本机进行转发。
总结:四个表包含五个链,每个链里面都有对应的规则。
规则就是我们人工配置的策略。
数据包进入本机之后,匹配表是有优先级的。
row.........mangle...........nat...........filer
3-3 iptables命令的格式和相关选项
格式:iptables -t 表名 管理选项 链名 匹配条件 -j 控制类型
不加-t 表名 默认就是filter表
不加链名,就是指所有链,不推荐如此操作。
管理选项:
- -A:在指定链的末尾追加一条
- -I:在指定链中插入一条新的规则,根据编号来进行插入,不指定序号则会直接插入当前链中的第一条(不推荐)。
- -P:指定默认策略。
- -D:删除规则。
- -R:修改或者替换规则(不推荐)
- -L:查看。
- v:显示详细信息。
- n:所有字段以数字形式显示。
- -F:清空链当中的所有规则(慎用)。
- -X:清空自定义链的规则。
匹配条件:
- -p:指定匹配数据包的协议类型。
- -s:指定匹配数据包的源ip地址。
- -d:指定匹配数据包的目的ip地址。
- -i:指定数据包进入本机的网络接口。
- -o:指定数据包离开本机使用的网络接口。
- --sport:指定源端口。
- --dport:指定目的端口。
控制类型:
- ACCPET:允许数据包通过。
- DROP:直接丢弃数据包,没有任何回应信息。
- REJECT:拒绝数据包通过,会给一个响应信息。
- SNAT:修改数据包的源地址。
- DNAT:修改数据包的目的地址。
显示匹配:以-m 扩展模块形式指出类型 多端口 MAC地址 IP范围。
- -m iprange -src--range源IP范围
- -m iprange -dst--range目的IP地址
- -m mac --mac-source mac地址
- -m mac --mac-dinstinc
规则内的匹配顺序:
自上向下,按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中找不到规则,则会按照该链的默认策略处理。
1、如果策略已保存过,写在配置文件中的,保存,导入到iptables,重启服务器即可。
2、机房调整。
3、炸。
踩缝纫机:1年-3年,情节严重5年。
注意:工作中发现服务无法启动不要去关防火墙,因为生产的防火墙都是白名单,一旦关闭就是全部拒绝访问。清空防火墙策略,就踩缝纫机。
-i 数据的入口设备
-o 数据的出口设备
导入配置文件之前,源文件一定要备份!
4 自定义链
ipables还可以做地址的转换
4-1 SNAT
SNAT:源地址转换。内网访问外网,内网的ip地址转换成可以和外网通信的ip地址。
4-2 DNAT
DNAT:目的地址转换,内部地址映射到一个或者是一组公网地址。将内部私网地址映射成公网地址,公网地址可以直接对外提供访问服务。
SNAT和DNAT核心:就是地址转换
口诀:内到外,要换源;外到内,转目的。