基础篇七---服务器安全策略及linux防火墙介绍

一、服务器安全策略


二、linux防火墙

(1)一个封包进入网络主机的顺序为:防火墙----selinux-----端口-----服务

(2)防火墙是封包过滤的机制,即通过netfilter机制主要对数据包表头分析,对端口、IP、特殊标识封包(如带有SYN的主动联机)、mac地址进行检测,来决定是否放行;因此可知,防火墙不可抵御病毒或者木马,因为特定的端口(比如80端口,木马会经常探测这个端口)是必须要开放的;此外,对lan的防御也不足,因为默认是被信任的;

(3)符合(1)xinetd管理的服务(2)支持libwarp.so函式库的服务,其支持/etc/hosts.allow和/etc/hosts.deny规则,规则的写入用“服务名:IP网段”的格式,其中ip网段必须以掩码的方式写入,例如192.168.1.1/255.255.255.0;规则的执行是先检测allow,再检测deny,都没有,则放行;

(4)防火墙的规则的顺序很重要,第一条规则匹配,则放行,不匹配,则检验下一条规则,都不匹配,则执行预设动作(即policy),因此规则的顺序绝对要注意,错误了就等于没用了;比如:发现 IP 来源为 192.168.100.100 老是恶意的尝试入侵你的系统,所以你想要将该 IP 拒绝往来,最后,所有的非 WWW 的封包都给他丢弃,就这三个规则来说,你要如何设定防火墙检验顺序呢?
1. Rule 1 先抵挡 192.168.100.100 ;
2. Rule 2 再让要求 WWW 服务的封包通过;
3. Rule 3 将所有的封包丢弃。
这样的排列顺序就能符合你的需求,不过,若顺序错了,则就起不到作用;

(5)iptables预设的有三张表table,每个table又有多个链,比较常用的链为filter(过滤器)和nat(地址转换),其中filter有INPUT、OUTPUT、FORWARD三个链,nat有PREROUTING(在进行路由判断之前所要进行的规则,即DNAT/REDIRECT)、POSTROUTING(在进行路由判断之后所要进行的规则,即SNAT/MASQUERADE)、OUTPUT(与发送出去的封包有关)三个链;

基础篇七---服务器安全策略及linux防火墙介绍_第1张图片

管制 LAN 内的其他主机的话,那么你就必须要再针对 filter 的 FORWARD 这条链,还有 nat 的 PREROUTING, POSTROUTING 以及OUTPUT 进行额外的规则订定才行;

(6)iptables的命令规则

iptables -t nat   -L   显示nat表的信息,不加-t则显示的为默认filter

iptables-save   按照格式显示出信息

iptables -F 清除现在所有规则

iptables -P INPUT DROP   定义预设策略

iptables [-AI 链名] [-io 网络接口] [-p 协议]  [-s 来源 IP/网域] [-d 目标 IP/网域] -j [ACCEPT|DROP|REJECT|LOG]

解释:-A 规则置于第一行;-I规则置于最后一行;-i数据包所进入的网卡接口;-o数据包所出去的网卡接口;

iptables [-AI 链] [-io 网络接口] [-p tcp,udp] [-s 来源 IP/网域] [--sport 埠口范围] [-d 目标 IP/网域] [--dport 埠口范围] -j [ACCEPT|DROP|REJECT]

解释:重点在于端口上,端口号码可以是连续的,如80~120,因为仅有 tcp 与 udp 封包具有埠口,因此你想要使用 --dport,--sport 时,得要加上 -p tcp 或 -p udp 的参数;

iptables -A INPUT [-m state] [--state 状态]

解释:-m state是加上防火墙的外挂的状态模块,--state :一些封包的状态,主要有:INVALID :无效的封包,例如数据破损的封包状态;ESTABLISHED:已经联机成功的联机状态;NEW :想要新建立联机的封包状态;RELATED :这个最常用!表示这个封包是与我们主机发送出去的封包状态;

实例:iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

vim  /etc/sysconfig/iptables   可以直接编辑规则

/etc/init.d/iptables save  保存设置的规则

9、net网关

tcp/ip中的路由器可称为网关,net是通过nat表中的相关的链来实现地址的转换,一般的,局域网内的主机的网关设置为nat主机的私网IP,外界的主机都是访问nat主机的公网IP从而访问到目标主机;

snat是指的来源

dnat是指的目的




你可能感兴趣的:(基础)