本文详细介绍了Linux防火墙的原理、工作流程,包括iptables、firewalld和nftables等工具的使用方法,以及入侵检测系统和入侵防御系统的区别。重点讲解了四表五链的概念和iptables的基本语法。
目录
入侵检测系统(Intrusion Detection Systems):
入侵防御系统(Intrusion Prevention System):
安全技术
入侵检测系统(Intrusion Detection Systems):
特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。
入侵防御系统(Intrusion Prevention System):
以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。(必经之路)
防火墙( FireWall ):
隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中
防火墙的划分
按保护范围划分:
-
主机防火墙:服务范围为当前一台主机
-
网络防火墙:服务范围为防火墙一侧的局域网
按实现方式划分:
-
硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,
-
软件防火墙:运行于通用硬件平台之上的防火墙的应用软件
按网络协议划分:
-
网络层防火墙:OSI模型下四层,又称为包过滤防火墙
-
应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层
防火墙工作原理:
接收数据包
mac头部 ip头部 协议/端口 7层协议(http) 真实数据 校验位
过程:
收包 拆包 检查没问题 装包
收包 拆包 检查有问题 隔离或者丢弃
4层原理:传输层 通过协议,端口号,ip,mac控制流量
7层原理:应用层,控制真实数据,协议(7层协议:http,dns等),端口号,mac地址,ip地址
Linux 防火墙的基本认识
Netfilter
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中
Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作
防火墙工具介绍
1、iptables
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包
2、firewalld
从CentOS 7 版开始引入了新的前端管理工具
软件包:
firewalld
firewalld-config
管理工具:
firewall-cmd 命令行工具
firewall-config 图形工作
3、nftables
此软件是CentOS 8 新特性,Nftables最初在法国巴黎的Netfilter Workshop 2008上发表,然后由长期的netfilter核心团队成员和项目负责人Patrick McHardy于2009年3月发布。它在2013年末合并到Linux内核中,自2014年以来已在内核3.13中可用。
它重用了netfilter框架的许多部分,例如连接跟踪和NAT功能。它还保留了命名法和基本iptables设计的几个部分,例如表,链和规则。就像iptables一样,表充当链的容器,并且链包含单独的规则,这些规则可以执行操作,例如丢弃数据包,移至下一个规则或跳至新链。
从用户的角度来看,nftables添加了一个名为nft的新工具,该工具替代了iptables,arptables和ebtables中的所有其他工具。从体系结构的角度来看,它还替换了内核中处理数据包过滤规则集运行时评估的那些部分。
netfilter
五个勾子函数和报文流向
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、
PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则。
由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上提示:从 Linux kernel 4.2 版以后,Netfilter 在prerouting 前加了一个 ingress 勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量,这个新挂钩比预路由要早,基本上是 tc 命令(流量控制工具)的替代品。
四表五链
表中有链,链中有规则
五链:选择合理的链做规则
网卡-------内核(netfilter)
流量:两种可能:1、发给你的 2、需要你转发的
表的作用是 存放链
链决定了在什么地方控制流量
规则链
-
规则的作用:对数据包进行过滤或处理
-
链的作用:容纳各种防火墙规则
-
链的分类依据:处理数据包的不同时机
默认包括5种规则链
1、prerouting链:在进行路由选择前处理数据包
2、postrouting链: 在进行路由选择后处理数据包
3、input:处理进入本机的数据包
4、output:处理从本机出去的数据包
5、forward:处理转发数据包
规则表
-
表的作用:容纳各种规则链
-
表的划分依据:防火墙规则的作用相似
默认包括4个规则表
1、raw表:确定是否对该数据包进行状态跟踪
2、mangle表:为数据包设置标记
3、nat表:修改数据包中的源、目标IP地址或端口
4、filter表:确定是否放行该数据包(过滤)
security -->raw-->mangle-->nat-->filter
iptables
基本语法:
iptables -t 指定表 子命令 指定链 规则 -j 跳转
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
n:使用数字形式(--numeric) 显示输出结果,如显示IP地址而不是主机名
L: 列出(--list) 指定链中所有的规则,若未指定链名,则列出表中的所有链
查看iptables的规则列表:-vnL
iptables -vnL [-t 表名]
如果查看不是filter表需要指明表
iptables -vnL -t nat
给规则加上序号:iptables [-t 表名] -vnL ---line-num
添加规则:A I
A 在末尾追加
iptables-A INPUT -s ip/掩码 -j ACCEPT 或 DROP 或 REJECT
-I 需要指明序号 - INPUT 1 在 INPUT 链的规则第一条前添加,我就变成第一条了
iptables -l INPUT 2 -s 192.168.91.0 /24 j ACCEPT
删除规则 D F
iptables [-t 表名] -F
iptables -D 链 规则序号
iptables -t filter -D INPUT 2 //删除 filter 表中 INPUT链中的 第2条规则
修改默认规则 P
默认是允许通过 黑名单
默认不允许通过 白名单
iptables -P INPUT DROP
iptables -P INPUT ACCEPT
替换规则 R
iptables -RINPUT 1 -S 192168.911 -i ACCEPT
通用匹配和模块匹配
通用匹配
基本匹配条件:无需加载模块,由iptables/netfilter自行提供
直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。 协议匹配: -p协议名 地址匹配: -s 源地址、-d目的地址 #可以是IP、网段、域名、空(任何地址) 接口匹配: -i入站网卡、-o出站网卡 iptables -A FORWARD ! -p icmp -j ACCEPT iptables -A INPUT -s 192.168.91.101 -j DROP iptables -I INPUT -i ens33 -s 192.168.91.0/24 -j DROP
iptables -I INPUT -p icmp -j DROP iptables -A FORWARD ! -p icmp -j ACCEPT //感叹号”!”表示取反
3952
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
