Windows防火墙及Linux防火墙

防火墙概述

相关实验

<网络防火墙>

防火墙是位于两个或多个网络间，实施网间访问控制的一组组件的集合，满足以下条件：内部和外部之间的所有网络数据流必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙自身应对渗透免疫。
为什么需要防火墙：保护内部不受来自Internet的攻击；创建安全域；增强机构安全策略。
防火墙技术带来的好处：强化安全策略；有效地记录Internet上的活动；隔离不同网络，限制安全问题扩散；是安全策略的检查站。
争议及不足：对用户不完全透明，可能带来传输延迟及单点失效；不能防范恶意的知情者；不能防范不通过它的连接、数据驱动式的攻击和全新的威胁；当使用端-端加密时，其作用会受到限制。

Windows防火墙

相关实验

<防火墙设置实验>

<Filter防火墙>

Windows 7

Windows7针对每个程序为用户提供了三种实用的网络连接方式：
允许连接：程序或端口在任何情况下都可以被连接到网络；
只允许安全连接：程序或端口在只有IPSec（Internet协议安全性）保护的情况下才允许连接到网络；
阻止连接：阻止此程序或端口的任何状态下连接到网络。
Windows 7防火墙打开方式：控制面板——系统和安全——Windows防火墙

image.png

允许程序或功能通过Windows防火墙：

image.png

点击[更改设置]以添加/更改/删除允许的程序和端口。

打开或关闭Windows防火墙：

image.png

可以完成对防火墙状态的修改工作。

建议设置为启用所有网络下的防火墙，并且打开在阻止新应用时通知。建议在专用网络中关闭选项‘阻止所有连接传入’，在公用网络中启用。

高级设置：

image.png

包括出入站规则、连接安全规则等都可以从这里进行自定义设置。

Windows 10

Windows Defender防火墙通过监控系统底层，来帮助使用者抵御间谍软件和其他潜在的有害软件的攻击。
打开方式：控制面板——系统和安全——Windows Defender防火墙

image.png

Windows安全中心打开方式：设置——更新和安全——Windows安全中心

image.png

image.png

其中的设置和Windows 7一致。

Linux防火墙

相关实验

<Linux防火墙>

<使用FirewallD构建动态防火墙>

iptables

iptables采用了表和链的分层结构，每个规则表相当于内核空间的一个容器。根据规则集的不同用途，划分为默认的四个表，即filter表、nat表、mangle表和raw表。每个表容器内包括不同的规则链，根据处理数据包的不同时机划分为五种链，而决定是否过滤或处理数据包的各种规则，按先后顺序存放在各规则链中。
image.png

规则表：
1）raw表：用来决定是否对数据包进行状态跟踪；
2）mangle表：用来修改数据包的TOS、TTL，或者为数据包设置MARL标记、策略路由等高级应用；
3）nat表：用来修改数据包的IP地址、端口号等信息；
4）filter表：用来对数据包进行过滤。
规则链：
1）INPUT链：当收到访问防火墙本机地址的数据包（入站）时，应用此链中的规则；
2）OUTPUT链：当防火墙本机向外发送数据包（出站）时应用；
3）FORWARD链：当收到需要通过防火墙中转发给其他地址的数据包（转发）时应用；
4）PREROUTING链：在对数据包做路由选择之前，应用此链中的规则；
5）POSTROUTING链：在对数据包做路由选择之后应用。

基本操作

查看防火墙状态：

image.png

停止防火墙：

image.png

启动防火墙：

image.png

重启防火墙：

image.png

永久关闭防火墙：chkconfig iptables off

永久关闭后重启：chkconfig iptables on

开启80端口：/etc/sysconfig/iptables文件中添加如下代码：-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

firewalld

在RHEL7系统中，firewalld防火墙取代了iptables防火墙。Iptables的防火墙策略是由内核层面的netfilter网络过滤器来处理，而firewalld则是由内核层面的nftables包过滤框架来处理的。相较于iptables防火墙而言，firewalld支持动态更新技术并加入了区域(zone)的概念，firewalld预先准备了几套防火墙策略集合，用户可以根据生产场景的不同而选择合适的策略集合，实现防火墙策略间的快速切换。
firewalld有基于命令行界面(CLI)和图形用户界面(GUI)两种管理方式，即firewall-cmd（终端管理工具）和firewall-config（图形管理工具）。

firewall-cmd

firewall -cmd命令中使用的参数及作用：

image.png

firewalld服务的启动、停止和重启： systemctl start firewalld systemctl stop firewalld systemctl restart firewalld

重新加载防火墙配置：firewall-cmd --reload

查看firewalld的运行状态：firewall-cmd --state

查看系统默认活动区域名称、来源地址和关联的网卡：

image.png

添加smtp服务至work zone：

image.png

开放22端口：firewall-cmd --zone=drop --add-port=22/tcp

firewall-config

image.png

①：选择运行时模式或永久模式；
②：可选的策略集合区域列表和常用的系统服务列表；
③：当前正在使用的区域；
④：管理当前被选中区域中的服务、端口，开启或关闭SNAT（源地址转换协议）技术，设置端口转发策略，控制请求ICMP服务的流量，管理防火墙的富规则和网卡设备。
设置对外开放HTTP服务：

image.png

添加一条防火墙规则，使其放行8080-8088端口（TCP协议）的流量，且永久生效：

image.png

然后点击【选项】菜单中的【重载防火墙】选项，使上面配置的永久规则立即生效：

image.png

这与在命令行中执行–reload参数的效果一样。