安全技术:
入侵检测机制
特点:阻断,量化,定位来自内外的网络威胁情况。提供报警和事后监督,类似监控。
入侵防御
特点:以透明模式工作,对数据包的内容进行分析,对一切进入本机的内容进行防护,比如木马,系统漏洞,对其进行分析判断,然后进行阻断。是一个主动的防御机制,部署在整个架构或者集群的入口处。
防火墙
主要起隔离作用,工作在内网和外网之间。对网络或者主机进出的数据包按照一定的规则进行检测。在工作中,对防火墙的设置都是白名单。
防水墙
同样是以透明模式工作,一切对于防水墙都是透明的。
防火墙:
按保护范围分为:主机防火墙,网络防火墙
网络防火墙,也可以叫访问控制,对每个数据包的源ip地址,目的ip地址,端口号1,协议等进行组合判断,也由此判断数据包是否允许通过
通信五要素:
源ip地址,目的ip地址,源端口,目的端口,协议
防火墙
iptables:系统自带的包过滤防火墙
firewalld:主机防火墙
iptables
iptables是linux的内置防火墙,内置4个表,在所有的表中配置规则,配置后立即生效,不需要重启。
4个表分为
raw:连接跟踪,跟踪数据的一种机制。配置了之后,可以加快防火墙的穿越速度
mangle:修改数据包的标记位规则
nat:地址转换规则表
filter:包过滤规则表,根据预定义的规则,人工设置的规则。对符合条件的数据包进行过滤,也是iptables的默认表
优先级:raw---mangle---nat---filter
5个链分为:
preouting链:处理数据包进入本机之前的规则
input链:处理数据包进入本机的规则
FORWARD链:处理数据包转发到其他主机的规则
output链:处理数据包发出的数据包的规则,一般不做处理。
postrouting链:处理数据包离开本机之后的规则
iptables的配置规则是写在链中
管理选项
-A :在指定链的末尾进行追加
-I :在指定链插入新的规则,可以指定插入位置
-P :修改默认策略
-D :删除
-R :修改或者替换规则
-L :查看指定链规则
-n :以数字形式显示规则
-v :查看详细信息
--line-numbers :给每个链的规则进行编号查看
-F :清空指定链当中的规则
-X :清空自定义链的规则
-t :指定表名
-j :后面加控制类型
匹配条件
-p :指定数据包的协议类型
-s :指定数据包的源ip地址
-d :指定数据包的目的ip地址
-i :指定数据包进入本机的网络接口
-o :指定数据包离开本机的时候使用的网络接口
--sport :指定源端口
--dport :指定目的端口
控制类型:
ACCEPT :允许数据包通过
DROP :拒绝数据包通过,直接丢弃数据包,不给任何回应信息
REJECT :拒绝,拒绝数据包通过,但是会给一个回应信息
SNAT :修改数据包的源地址
DNAT :修改数据包的目的地址
匹配规则是从上到下匹配的,如果前面已经匹配到规则,那么后面的规则将不再匹配
num :序号
pkts :匹配规则收到的报文个数
bytes :包的大小总和
target :规则对应的动作
SNAT和DNAT
SNAT :源地址转换
DNAT :目的地址转换
firewalld
firewalld是centos7自带的,也是包过滤防火墙
firewalld过滤,通过区域来进行配置
iptables是静态防火墙
firewalld是动态防火墙
firewalld区域:
1.trusted :信任区,所有流量都可以进入
2.public :公共区域,允许ssh和hdcpv6-client的流量可以传入,其他的全部拒绝,也是firewalld的默认区域
3.external :外部区域,允许ssh或者hdcpv6-client的流量可以传入,其他的全部拒绝
4.home :家庭区域,允许ssh或者hdcpv6-client的流量可以传入,其他的全部拒绝
5.internal :内部区域,默认值与home区域的作用相同
6.work :工作区域,允许ssh或者hdcpv6-client的流量可以传入,其他的全部拒绝
7.DMZ :隔离区,非军事区,允许ssh,其他的预定义好的区域,其他全部拒绝
8.block :限制区,拒绝所有流量
9.drop :丢弃区域,所有流量全部都会丢弃,没有任何回应
hdcpv6-client:获取ipv6地址的工具