防火墙(二)

最新推荐文章于 2024-07-23 22:24:07 发布
最新推荐文章于 2024-07-23 22:24:07 发布
阅读量1k 收藏 5
点赞数 23
分类专栏: Linux安全 文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74956938/article/details/140172684
版权

目录

直接规则

示例

(1) 创建一个黑名单功能链

(2) 将来自192.168.10.0/24的数据包指向这个链

(3) 每分钟记录一次日志

(4) 设置该链的规则为DROP

(5) 重载firewalld

富语言

示例

(1) 允许连接http,并使用审核每分钟记录一次

地址伪装

示例

(2) 端口转发

(3) 将网关服务器的外网接口设置第二个ip地址,让外网主机能够通过两个IP访问Web服务

(4) 使用富规则配置端口转发

直接规则

将 iptables 的规则插入到hirewalld防火墙的策略中

示例

将某个P范围列入黑名单

防止DDOS攻击

(1) 创建一个黑名单功能链

先使用 firewal-cmd --direct --add-chain ipv4raw blackist 命令在规则中添加一个名为 blacklist 的新的 ipv4 原始防火墙链

  1. --direct:这个选项告诉frewal-cmd命令直接在防火墙的底层规则中进行操作,而不是通过frewalld的标准配置接口。
  2. --add-chain ipv4 raw blacklist:在IPV4协议下的原始 (raw) 表中添加一个名为 blacklist 的新防火墙链。 
    a. 原始表 (raw table) 是Linux防火墙的一部分,它允许更低层次的处理,通常用于某些特定的高级网络配置和包过滤。

firewall-cmd --direct --remove-chain ipv4 raw blacklist : 删除一个名为blacklist的ipV4原始防火墙链
firewal-cmd -direct --add-chain ipv4 raw blacklist-permanent : 在规则中永久添加一个名为backist 的新的ipv4原始防火墙链

(2) 将来自192.168.10.0/24的数据包指向这个链

再在该链上加一条规则,用于将指走网段的数据包跳转到 blacklist 链中

(3) 每分钟记录一次日志

记录匹配特走条件的流量

(4) 设置该链的规则为DROP

在该链中添加一条规则,编号为1,该规则的动作是丢弃(DROP)匹配的数据包。

(5) 重载firewalld

富语言

frewalld的富语言 (rich language) 提供了一种不需要了解 iptables 语法的通过高级语言配置复杂 IPv4和IPv6 防火墙规则的机制,为管理员提供了一种表达性语言,通过这种语言可以表达firewald 的基本语法中未涵盖的自定义防火墙规则。

示例

需求 : 允许主机建立连接,并且每分钟审核一下
yum -yinstall httpd 安装Apache软件包

(1) 允许连接http,并使用审核每分钟记录一次

其他富语言示例

允许了来自 192.168.10.0/24 网段的主机访问 TFTP 服务,并记录相关日志

地址伪装

源地址转换 : 内网访问外网

目标地址转换 : 外网访问内部服务器

示例

实现外网主机访问内网Web服务器dmz区域的Web服务

需要在网关服务器做地址转换

关闭地址伪装、重载

设置external区域中只有192.168.1.0/24网段的数据包才有地址伪装效果

(2) 端口转发

将所有进入防火墙外部区域(extemal)的80端口的TCP流量转发到内部网络的192.168.2.10主机上

(3) 将网关服务器的外网接口设置第二个ip地址,让外网主机能够通过两个IP访问Web服务

(4) 使用富规则配置端口转发

未来信
关注
  • 23
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙层墙(VAN/SVI/单臂路由)
xiaoli8748的专栏
03-25 611
交换机的光口是不能直接插线的,光模块,包括进和出。交换机+安全策略====防火墙层墙。路由器+安全策略====防火墙三层墙。层墙只能做地址池形式的NAT。
华为防火墙层HRP主备注意事项
qq_39372262的博客
07-12 1443
华为防火墙层HRP主备注意事项 华为防火墙没有STP协议并且透传BPDU报文以至于不能阻断端口,造成防火墙与交换机形成广播风暴,可以参考此种模式解决防火墙热备形成环路问题 !
华为防火墙层透明模式下双机热备负载分担配置(两端为路由器)
IT技术
11-11 865
华为防火墙层透明模式下双机热备负载分担配置(两端为路由器)
安全防御——防火墙
金色%夕阳的博客
09-12 1948
当用路由器防火墙等设备将内网服务器发布到公网上,供外网用户访问的过程中出现的一种现象,就是你发现web服务器已经成功发布了,外网用户能够成功访问,但内网用户确无法访问到web服务器,这就是路由回流。也叫做 NAT 模式,和路由器接口一样,是拥有 IP 地址的接口。在内网配置一台DNS服务器,内网的所有客户端的DNS的IP都填写这台内网的DNS服务器的IP地址,还需要在内网DNS服务器上配置转发器,转发器中填写公网上的运营商DNS服务器的IP地址就可以解决访问其他网站的问题了。是指对报文中的源地址进行转换。
防火墙的两种组网模式:三层路由网关模式、层透明网桥模式
网络技术联盟站
05-06 2337
在三层路由网关模式中,防火墙被配置为网络的三层路由网关,与原有的路由器相比,它不仅能够实现路由功能,还具备了防火墙的安全防护能力。通过这种模式,防火墙能够在网络中充当数据包的传输节点,负责对数据包进行路由和安全检查,从而保障网络的安全性。在层透明网桥模式中,防火墙作为层透明网桥接入网络,不会改变原有的网络结构,同时可以与路由模式共存。在这种模式下,防火墙会学习网络中的MAC地址,并根据预设的安全策略对数据包进行转发或丢弃,实现网络安全防护。
华为防火墙层透明模式下双机热备主备备份配置(两端为交换机)
IT技术
11-11 1075
华为防火墙层透明模式下双机热备主备备份配置(两端为交换机)
H3C防火墙层设置
weixin_34137799的博客
04-10 3189
H3C的防火墙有两种层模式的配置方法,老版本支持的叫透明模式,新版本的叫桥接模式,配置命令不一样,但效果一致,下面为两种方法配置案例,请大家参考://红色的必须要配置:systemfirewall packet-filter enablefirewall packet-filter default permitfirewall zone trustadd interface...
Juniper防火墙 层透明模式配置
weixin_34326429的博客
04-12 1173
防火墙透明模式设置(jnuiper ssg-140)首先理解什么是防火墙的透明模式,就是相当于把防火墙当成交换机,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息。透明模式的优点:1、 不需要改变已有的网络和配置2、不需要创建映射或者虚拟的IP3、透明模式对系统资源消耗最少具体配置如下:1、配置透明模式的内网接口2、配置路...
华为防火墙配置教程
热门推荐
XMWS-IT
02-08 1万+
01 了解防火墙基本机制 配置防火墙之前请了解防火墙基本工作机制。 1.1 什么是防火墙 防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。 如图1-1所示,防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则,允许内网10.1.1.0/24网段的PC访问Internet,禁止Internet用户访问IP..
华为防火墙
ATM_32的博客
12-04 9440
防火墙的工作模式 华为防火墙有三种模式,路由模式、透明模式、混合模式
华为USG6000系列下一代防火墙层透明桥接应用解决方案.docx
10-28
华为USG6000系列下一代防火墙层透明桥接应用解决方案.docx
天清汉马防火墙实例
08-19
天清汉马防火墙实例 nat与几个vlan设置
H3C防火墙层模式配置案例.pdf
11-20
H3C防火墙层模式配置案例.pdf
基于ensp防火墙双击热备网络规划与设计(命令齐全)-参考文章-配置实验命令笔记
07-02
文件中包含了基于ensp防火墙双击热备网络规划与设计的topo图及其完整的配置(2份 区别就是第个加了无线网络规划设计(WIFI))(层架构,核心层、计入层),文件在加入了相应的配套文章连接,并加入了实验的...
防火墙升级方案.docx
03-26
2. 流量控制:整体流量控制将划分为第一层流控、第层流控,每一层流控下再划分三个根管道,根管道下面再划分子管道,子管道下还可以再可以划分子管道,每一个管道都可以分配上传和下载的流量,实现精确的应用程序...
两台低功耗服务器存档
最新发布
skywalk8163的专栏
07-23 533
两台都是J1900 四核芯片,当前1号机内存8G,2号机内存4G后将2号机内存升为8G,使用的协德牌子的内存。
客户端与服务器通讯详解(5):安全威胁与应对策略
贝格前端工场的博客
07-23 295
在进行客户端与服务器通讯的时候,要时刻防范安全威胁,后端有一句名言“永远不要相信用户在前端的输入”,就是说客户端和服务器之间通讯,必须有严密的规则。
基于Centos7搭建rsyslog服务器
m0_64940629的博客
07-20 420
(2)在日志服务器端启动tcp与udp服务(192.168.134.155)==该服务器命名为test2,同样重启。(1)修改rsyslog的配置文件并重启。5、基础测试(登入数据库,执行如下命令)1、安装数据库及插件,并配置数据库。、配置基于mysql存储日志信息。1、安装loganalyzer软件。一、配置rsyslog可接收日志。1、准备新的Centos7环境。4、修改rsyslog配置文件。3、配置简易的客户端与服务端。3、退出数据库,修改配置文件。2、指定用户,赋予权限。2、部署lnmp环境。
Cookies和session区别
qq_39495959的博客
07-19 430
Cookies数据存储在客户端(浏览器)中,而Session数据存储在服务器端。这意味着Cookies是客户端技术,而Session是服务器端技术。
步,怎么禁用防火墙
09-07
在Ubuntu系统中,你可以使用以下命令来临时禁用防火墙: 1. 如果你使用的是UFW防火墙,可以使用以下命令禁用UFW: ``` sudo ufw disable ``` 2. 如果你使用的是iptables防火墙,可以使用以下命令清空iptables...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值