监控与服务安全-----防火墙

最新推荐文章于 2024-04-30 18:01:59 发布
最新推荐文章于 2024-04-30 18:01:59 发布
阅读量282 收藏 1
点赞数
文章标签: LINUX 防火墙 iptables 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45124917/article/details/101349338
版权

1.安装iptables防火墙服务程序,并启动

yum -y install iptables-services
systemctl start iptables.service
systemctl status iptables.service

2.iptables的组成 (4张表,5条链)

4张表: (表是防火墙服务的功能分类)
raw 表 : 状态跟踪表
mangle 表 : 包标记表
nat 表 : 地址转化表
fileter表 : 过滤表

5条链 : (匹配数据包传输方向)
INPUT : 进入防火墙主机的数据包
OUTPUT : 从防火墙主机出去的数据包
FORWARD : 经过防火墙主机的数据包
POSTROUTING : 路由后处理
PREROUTING : 路由前处理

3.管理防火墙的命令格式

]# iptables -t 表名 选项 链名 条件 -j 处理动作

(规则)选项:
- 添加规则
- A 在链的末尾追加一条规则
- I 在链的开头插入一条规则
- 查看规则
- L 列出所有的规则条目 (列出序号)
- n 以数字的形式显示地址,端口等信息
- - line-numbers 查看规则时,显示规则的序号
- 删除规则 - D 删除链内指定序号(或内容)的一条规则
- F 清空所有规则
- 默认策略 - P 为指定的链设置默认规则

匹配条件:
1.通用匹配
- 协议匹配 : -p 协议名
- 地址匹配 : -s 源地址 -d 目标地址
- 接口匹配 : -i 收数据的网卡 -o 发数据的网卡
2. 隐含匹配
- 端口匹配; --sport 源端口 --dport 目标端口
- ICMP类型匹配: --icmp-type ICMP类型

规则链内的匹配顺序 :
- 顺序匹配,匹配即停止 (LOG除外)
- 若无任何匹配,则按该链的默认策略处理

处理动作:
DROP 丢弃 (执行操作之后防火墙不给任何信息提示,知道访问时间超时自动断开)
REJECT 拒绝 (执行操作之后防火墙提供数据提示)
ACCEPT 放行
LOG 记录日志
SNAT 源地址转换
DNAT 转换目标地址

4.防火墙类型: (链的默认策略只能是drop或者accept)

		**- 主机型防火墙 (自己保护自己)      使用    filter表    INPUT链**

例子:
]# yum -y install iptables-services //装包
]# systemctl start iptables //开启
]# systemctl status iptables //检查状态
]# iptables -t filter -nL --line-numbers //查看
]# iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT //-p 指定协议 -j 指定处理动作
]# iptables -t filter -P INPUT DROP //-P 指定默认策略
以上配置表示: 这台主机只能接收ssh请求,其他的请求全部拒绝
]# iptables -t filter -I INPUT 1 -s 192.168.2.0/24 -p tcp --dport 22 -j ACCEPT //在INPUT链里添加规则,切规则序号为1 ,允许2网段的主机ssh访问本机.

]# iptables -t filter -A INPUT -d 192.168.2.51 -p tcp --dport 80 -j ACCEPT 开通本机2网段端口,可以被2网段的客户端访问本机http
]# iptables-save > /etc/sysconfig/iptables //永久保存配置

]# iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT //让防火墙主机可以ping通客户端,而客户端Ping不通防火墙主机

		**- 网络型防火墙   伪路由   (控制数据包是否允许经过自己)		使用  filter 表     FORWORD 链**

环境配置:

host52 :
]# route add default gw 192.168.2.51 修改本机网关命令
]# route -n 查看当下本机的网关信息
host51:
]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启本机路由功能
]# echo ‘net.ipv4.ip_forward=1’ >> /etc/sysctl.conf
]# sysctl -a //列出所有的参数
]# sysctl -p //配置永久生效
host50:
]# route add default gw 192.168.4.51 修改本机网关命令
]# route -n 查看当下本机的网关信息

例子:
host51
]# iptables -t filter -P FORWARD DROP //指定默认规则为DROP
]# iptables -t filter -A FORWARD -p tcp --dport 80 -j ACCEPT
]# iptables -t filter -A FORWARD -p tcp --sport 80 -j ACCEPT // 允许主机50与52互相访问各自的网页
]# iptables -t filter -A FORWARD -p tcp --dport 22 -j ACCEPT
]# iptables -t filter -A FORWARD -p tcp --sport 22 -j ACCEPT //允许主机50与52用ssh互相访问

5.扩展匹配

常用的扩展条件类型

		-  MAC地址匹配   :   - m   mac   --mac-source  MAC地址
		-  多端口匹配  :        - m multiport   --sports   源端口列表
										- m multiport   -- dport    目标端口列表 
		-  IP范围匹配   :       - m iprange   --src-range  IP1- IP2 
										- m iprange   --dst-range  IP1-IP2

例子:

		]#  iptables -t filter -I FORWARD  -p icmp -m iprange --src-range 192.168.4.50-192.168.4.60 -j DROP
飞酱
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HCIA-Security网络安全技术视频.zip
04-24
网盘文件永久链接 1.1.0 网络安全概述 1.1.1 网络安全定义 1.1.2 网络安全发展历史 1.1.3 网络安全发展...4.4 故障监控和切换 5.0 用户管理技术 5.1.1 AAA概述 5.1.2 AAA常用技术 5.2.1 用户与认证概述 ............
zabbix监控华为防火墙
chanjingyue的专栏
07-27 1776
主要针对华为防火墙监控模块没有cpu和内存的情况
机房监控系统解说—防火墙
weixin_34015860的博客
07-16 600
(图片来源网络) 本文由51cto博客作者笔名李山原创未经授权请勿转载,如有需要请联系18123660262 一般的大中型企业因为需要办公的人数较多,内部数据交换频繁,办公设备也比较多以通常都会建有一个独立的机房,用于支撑企业办公设备正常运作。机房里面一般都会有各种电源、配线、服务器、空调等各种设备。都说机房重地需要注意的安全事项比较多1.消防安全:防火。配备灭火器、消防栓、消防龙头等,安装防火...
zabbix监控华为USG6000防火墙
weixin_34203832的博客
01-08 2278
一、zabbix需要snmp v3模板华为usg6306防火墙默认的支持snmp v3 协议 ,但是3.1.4版本的 zabbix没有snmp v3的模板,所以需要导入一个snmp v3的 模板,这个网上就有。该文档的目录中也有一份snmp v3的模板,导入流程如下:1、 2、 选择snmp v3模板文件后点击汇入,即可导入zabbix snmpv3模板 二、zabbix_server端需要安装s...
zabbix3.4监控华为防火墙USG6600
郭栋的博客
11-23 5770
1.zabbix端的配置 使用zabbix3.4自带的snmpv2模板就可以2.USG上的配置 2.1 配置snmpv2 这个在网页上配置就行 2.2 开启接口下的snmp-permit interface GigabitEthernet1/0/9 ip address 10.1.1.1 255.255.255.252 service-ma
zabbix监控防火墙
linhaiqiang的博客
08-25 3524
配置fu snmp-server host inside 192.168.1.143 community public
网络安全实验---Windows防火墙应用.docx
06-09
防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙...
droidwall防火墙的流量监控.zip
07-10
本项目是一个流量监控的小项目源码,项目结合了droidwall防火墙,主要功能是分程序gprs和wifi流量实时监控防火墙、流量排行。  
固盾iis防火墙.rar
08-29
目前固盾防火墙发布版本为1.0版。 ■ 防止黑客入侵 可以自由设置对URL Get请求过滤与Cookies过滤关键词实现完美防止Web入侵,同时拥有网马查杀功能,WelShell后门查杀清理;数据库挂马查杀彻底杜绝黑客通过后门入侵;...
网络安全与管理-试题.docx
06-09
网络安全与管理-试题全文共6页,当前为第1页。网络安全与管理-试题全文共6页,当前为第1页。网络安全与管理 试题 网络安全与管理-试题全文共6页,当前为第1页。 网络安全与管理-试题全文共6页,当前为第1页。 网络...
zabbix监控交换机、防火墙等网络设备
weixin_33849942的博客
06-08 3172
  zabbix3.4.4监控交换机/防火墙是非简单,只需知道交换机/防火墙的snmp密码,然后连接下自带或导入的snmp模板,就可以完成监控了。比如添加地址为172.10.11.5的交换机监控。 1)登录交换机,配置snmp(交换机/防火墙要开启161的udp端口,并允许zabbix访问)。 # snmp-server community kevinswith ro ...
zabbix3 0 2 监控防火墙实现过程
hfdgjjg的博客
02-21 3503
zabbix3 0 2 监控防火墙实现过程
zabbix3.0.2 监控防火墙实现过程
热门推荐
csdn's blog
07-13 1万+
1,下载专门的防火墙模版 我这里是sonicwall防火墙,由于防火墙厂商不太一样,所以各种接口端口也不太一样,需要调整一些参数,最好的办法是去下载专门的模版,这些在zabbix的网站上有下载,下载地址是:http://www.zabbix.org/wiki/Zabbix_Templates#External_template_resources,可以看到sonic的模版: ...
DZ先生怪谈国标28181之监控系统防火墙控制和NAT
DZ先生怪谈GB28181
02-14 2303
1. 自述 关于监控,可能我们用到防火墙的案例并不多,甚至少之又少,在公安网中有网闸,在政府网中可能会有单独的防火墙或者网闸,但在这里DZ先生建议,只要厂家的平台是基于linux系统,我建议您还是了解下,因为当遇到问题的时候,至少您知道从哪里下手,或者自己就能解决,就不必要等待二线或者别人的帮助,也可以获得客户对你的认可。了解知道的越多,就越能更加快速的处理问题,提高效率。 2. 防火墙规则 ...
内网安全【1】——域信息收集/应用网络凭证/CS插件/Android/BloodHound
weixin_42090431的博客
04-28 825
因此,域中的计算机本地管理员账号,极有可能能够登陆域中较多的计算机,本地管理员的密码在服务器上后期修改的概率,远低于在个人办公电脑上的概率,而域用户权限是较低的,是无法在域成员主机上安装软件的,这将会发生下面的一幕:某个域用户需要使用viso软件进行绘图操作,于是联系网络管理员进行安装,网络管理员采用域管理员身份登录了域成员主机,并帮助其安装了viso软件,于是这个有计算机基础的员工,切换身份登录到了本地计算机的管理员,后执行mimikatz,从内存当中抓取了域管理员的密码,便成功的控制了整个域。
严把质量关,饮片追溯系统应用,信息化追溯助力用药安全-亿发
YIFARJ的博客
04-26 483
随着国家政策的持续推动和各地的积极响应,相信中药饮片追溯系统将在未来发挥更加重要的作用,有助于中药饮片行业提升质量水平,净化市场环境,增强消费者对中药饮片的信任度,促进中医药产业的健康发展和可持续性增长。追溯体系可以追踪和记录药材的种植、采集、加工等全过程信息,为质量监管提供数据支持,有效防止低质量或假冒伪劣药材进入市场,保障中药饮片的品质。通过建立追溯体系,消费者可以查询药材的来源、加工过程和质量检测等关键信息,选择可靠的中药产品,提高用药安全性,避免因药材质量问题导致的用药风险。
Linux服务安全基础 - 查看入侵痕迹
最新发布
eagle89的专栏
04-30 915
Linux服务安全基础 - 查看入侵痕迹
等保测评常见安全风险
weixin_64392888的博客
04-28 604
9. **网络分段风险**:二级及以上系统应将重要网络区域和非重要网络区域划分在不同网段或子网,避免生产网络和办公网络混在一起带来的风险。1. **信息泄露风险**:评估系统中存储、传输和处理的敏感信息的安全性,防止数据被非法获取,避免个人隐私泄露或公司机密泄露等问题。13. **个人信息保护风险**:二级及以上系统在未授权的情况下不应采集、存储用户个人隐私信息,避免违规行为带来的风险。5. **不安全的通信风险**:评估传输数据时的加密和解密机制,确保数据在传输过程中的安全,防止数据被窃听或篡改。
防火墙前端页面-监控统计
06-03
防火墙前端页面的监控统计通常包括以下几个方面: 1. 流量统计:监测网络流量的大小、来源、去向等信息,可以帮助管理员及时发现网络攻击或异常流量。 2. 威胁检测:监测网络中的威胁,如病毒、木马、恶意软件等,并及时进行防护。 3. 用户行为监控监控用户的上网行为,包括访问的网站、下载的文件、上传的数据等,以及用户的身份认证等。 4. 安全事件告警:对于发现的安全事件,及时发出告警,方便管理员快速响应并解决问题。 5. 日志管理:对防火墙产生的日志进行管理和归档,以便后续的审计和分析。 以上是防火墙前端页面的常见监控统计内容,不同厂商的产品可能会有所差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值