服务基础之防火墙

最新推荐文章于 2023-04-02 19:57:38 发布
最新推荐文章于 2023-04-02 19:57:38 发布
阅读量421 收藏
点赞数
分类专栏: # Linux之服务基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46108954/article/details/106037580
版权

文章目录

四、防火墙

功能:主机或网络的边缘,对于进出的报文根据事先定义的规则进行检查,将那些能够被规则匹配到的报文做出相应处理

 

1.防火墙分类

1.1 按逻辑分类

  • 主机防火墙

    针对单主机进行防护

  • 网络防火墙

    处于网络边缘,针对网络入口进行防护,服务于背后的局域网

 

1.2 按物理分类

  • 硬件防火墙

    在硬件级别实现防火墙功能,性能高,价格高

  • 软件防火墙

    软件管理防火墙功能逻辑,性能低,价格低

 

2.程序管理机制tcp_wrapper

tcp_wrapper

tcp_wrapper工作在内核空间和应用程序中间的库层次中。在内核接收到数据包准备传送到用户空间时都会经过库层次,对于部分(只是部分)应用程序会在经过库层次时会被wrap库文件阻挡下来检查一番,如果允许通过则交给应用程序。

  • 查看sshd是否支持wrapper

    ldd $(which sshd) | grep wrap

[root@localhostr ~]#ldd /usr/sbin/sshd | grep wrap
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f5ae884e000)

  • 通过hosts.allow和hosts.deny控制服务访问

    格式

    • daemon_list: client_list [:options]

    • "daemon_list:"的表示方法

      sshd:

      sshd,vsftpd,in.telnetd:

      ALL:

      daemon@host: 控制连接某IP的服务

    • "client_list"的表示方法

      单IP:192.168.100.8

      网段:两种写法:"172.16."和10.0.0.0/255.0.0.0

      主机名或域匹配:fqdn或".a.com"

      宏:ALL、KNOWN、UNKNOWN、PARANOID、EXCEPT

    • :options的表达方式

      ALLOW和DENY可以分别写入deny文件和allow文件,表示在allow文件中拒绝在deny文件中接受

      :ALLOW

      :DENY

      :spawn

      • spawn表示启动某程序的意思(/etc/inittab中的respawn表示重启指定程序)。例如启动一个echo程序。
      • in.telnetd: 172.16 :spawn echo “we are good $(date) >> /var/log/telnetd.log”

  • tcpwrapper的检查顺序

    hosts.allow --> hosts.deny --> 允许(默认规则)

 

3.数据包过滤机制Netfilter

 

3.1 iptables(CentOS 6)
3.1.1 netfilter(内核空间)

在这里插入图片描述

  • netfilter也是以模块化的形式存在于Linux中,所以每添加一个和netfilter相关的模块,代表着netfilter就多一个功能。

  • 存放netfilter模块的目录

    /lib/modules/$kernel_ver/kernel/net/{netfilter,ipv4/netfilter,ipv6/netfilter}。

    $kernel_ver代表内核版本号。

  • hooks functions

    钩子函数

    • 每个钩子函数上可以放置N条规则,每条钩子上的多条规则被称为链(CHAIN),
      每个功能包含多个链,被称为表(TABLE)

    组成

    • PREROUTING 进入本机后路由决策之前
    • INPUT 到达本机内部
    • OUTPUT 由本机发出
    • FORWARD 由本机转发
    • POSTROUTING 路由决策之后,离开主机之前

 

3.1.2 iptables(用户空间)
  • 数据包处理流程图

在这里插入图片描述

    最低0.47元/天 解锁文章
    匡夆
    关注
    • 0
      点赞
    • 0
      收藏
      觉得还不错? 一键收藏
    • 0
      评论
    专栏目录
    Linux学习笔记(20)——firewalld防火墙管理服务
    Zone的博客
    06-19 983
    firwalld firewalld(Dynamic Firewall Manager of Linux systems, Linux 系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于 CLI (命令行界面)和基于 GUI(图形用户界面)的两种管理方式。 相较于传统的防火墙管理配置工具,firewalld 支持动态更新技术并加入了区域(zone)的概念。区域就是 fire...
    安全防御之防火墙篇(二)
    weixin_67259816的博客
    03-20 1206
    本篇文章主要针对防火墙的进一步学习,其中包含防火墙针对多通道协议的解决办法,以及防火墙的双机热备技术-----提高防火墙的高可靠性
    linux 防火墙(一)
    Liangheng32的博客
    11-06 315
    目录 firewalld概述 firewalld与iptables的区别 firewalld区域的概念 firewalld防火墙预定义了9个区域 firewalld数据处理流程 Firewalld防火墙的配置方法 1.运行时配置 2.永久配置 firewalld防火墙的配置方法 常用的 firewall-cmd 命令选项 常用命令 区域管理 服务管理 端口管理 firewalld概述 1)firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的ip
    firewalld 防火墙策略
    可问春风的博客
    03-11 5248
    下面都是在public区 #网关 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200." accept" firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.112" accept" firewall-cmd --reload firewall-cmd --p
    Firewalld
    mcc
    11-17 205
    Firewalld Firewalld概述 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 支持IPV4,IPV6防火墙设置以及以太网桥; 支持服务或应用程序直接添加防火墙规则接口; 拥有两种配置模式: (1)运行时配置:重启后自动清空;不中断现有链接;不能修改服务配置 (2)永久配置:重启后配置才能生效;中断现有连接;可以i修改服务配置 Firewalld和iptables的关系 netfilter:位于linux内核中的包过滤功能体系,称为linux防火墙的内核态 firewalld
    CentOS 7 下使用 Firewall
    dicekui4859的博客
    07-19 151
    文章转载自:https://havee.me/linux/2015-01/using-firewalls-on-centos-7.html CentOS 7 下使用 Firewall 在 CentOS 7 中,引入了一个新的服务,Firewalld,下面一张图,让大家明确的了解 Firewall 与 iptables 之间的关系与区别。 安装它,只需 # yum ...
    防火墙基础
    LDF-Dicky的博客
    09-21 1106
    1.防火墙概述 Firewall  一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为 2.防火墙的功能 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 能过滤大部分
    Linux服务器配置与管理:linux配置防火墙基础.pptx
    05-01
    【知识目标】 掌握:Linux防火墙的配置 【能力目标】 会使用Linux命令行工具firewall-cmd配置防火墙 【思政目标】 培养学生职业素养和安全意识
    Linux服务器配置与管理:linux防火墙基础.pptx
    05-01
    了解:防火墙的概念、功能与分类 熟悉: Linux防火墙的历史演进与架构 【能力目标】 能够描述firewalld防火墙的组成 【思政目标】 培养学生职业素养和信息安全意识。 防火墙——是指设置在不同网络(如可信任的企业...
    防火墙基础知识
    04-10
    防火墙能增强机构内部网络...防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
    云计算基础架构-FTP服务构建.pptx
    11-30
    - **防火墙设置**:确保防火墙允许FTP端口(通常是20和21)的入站连接,以使客户端能够访问FTP服务。 总的来说,构建云计算基础架构中的FTP服务是一项涉及服务器配置、网络设置和安全策略的重要任务。通过理解并...
    鸟哥linux私房菜_基础篇+服务器篇(全)
    10-31
    1. **服务器安全**:讲解防火墙配置、SSH安全实践、权限控制策略等,确保服务器的安全性。 2. **DNS域名解析服务**:了解DNS工作原理,设置DNS服务器,进行域名解析。 3. **HTTP服务器Nginx**:学习Nginx的配置与...
    防火墙详解
    qq_42340084的博客
    09-22 709
    1.概念 防火墙是用于公网和内网之间的一道屏障,有硬件和软件之分,但主要功能都是设置对应的策略对经过防火墙的网络包进行过滤。防火墙的策略可以基于源地址、目的地址、端口号、协议、应用等信息去设置策略。 2.iptables和firewalld的区别 iptables和firewalld都不是真正意义上的防火墙,只是用来定义防火墙策略的一个工具而已,也可以说是一种服务。iptables会把配置好的策略交给内核层面的netfilter网络过滤器来处理,而firewalld则把配置好的策略交给内核层面的nftabl
    宝塔防火墙GET,POST,UA过滤讲解
    开源世界
    04-14 2750
    一、防御GET,POST,UA 简介 :http://github.crmeb.net/u/defu 简要说明: 1. GET-参数过滤 --> 对GET类型的参数进行过滤 2.GET-URL过滤 --> 对URI 进行过滤 3. User-Agent过滤 --> 对客户端的UA进行过滤 4.POST过滤 -->对POST传递的参数进行过滤 5. Cookie过滤 --> 对客户端传递的Cookie进行过滤 6.常见扫描器
    firewalld防火墙
    Pyy0928的博客
    02-02 192
    文章目录一、Firewalld概述二、firewalld与iptables 的区别三、firewalld区域的概念1、firewalld防火墙9个区域四、firewalld数据处理流程五、firewalld检查数据包的源地址规则六、firewalld防火墙的配置方法1.常用的firewall-cmd 命令选项七、区域管理(1)显示当前系统中的默认区域(2)显示默认区域的所有规则(3)显示当前正在使用的区域及其对应的网卡接口(4)设置默认区域八、服务管理(1)查看默认区域内允许访问的所有服务(2)添加http
    2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
    x629242的博客
    04-02 6608
    在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙的安全功能。
    防火墙iptables&&firewalld
    fajixianshouhu的博客
    05-25 1708
    一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
    精英stm32f103开发板_STemWin无操作系统移植.zip.zip
    最新发布
    07-19
    精英stm32f103开发板_STemWin无操作系统移植.zip.zip
    计算机网络基础:详解防火墙功能与类型
    计算机网络基础中的防火墙是一个至关重要的概念,它在保障网络安全方面扮演着核心角色。防火墙本质上是一种网络安全设备或软件,它的设计目的是控制网络之间的访问,阻止未经授权的外部用户入侵内网,确保内部操作...

    “相关推荐”对你有帮助么?

    • 非常没帮助
    • 没帮助
    • 一般
    • 有帮助
    • 非常有帮助
    提交
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值