防火墙的安全机制
1.安全技术
1.入侵检测机制:特点是阻断,量化,定位来自内外的网络的威胁的情况。提供报警和事后监督,类似于监控。
2.入侵防御:以透明模式工作,分析数据包的内容,一切进入本机的内容,一切进入本机的内容进行防护,木马,蠕虫,系统漏洞进行分析判断,然后进行阻断。主动的防护机制。部署在整个架构,或者是集群的入口处。(必经之路)
3.防火墙:隔离功能,工作在网络或者主机的边缘。对网络或者主机进出的数据包按照一定规则进行检查。(网络层转发的数据包)。我们在工作当中,一般对防火墙的设置都是白名单,拒绝所有,允许个别。
4.防水墙,透明模式工作,华为的ensp监控就是防水墙。一切对于防水墙都是透明的。
在事前,事中,事后,都可以进行检测。
2.防火墙
保护范围:主机防火墙,仅当前主机服务。
网络防火墙,防护的是另一侧的局域网。网络层防火墙,iptables,包过滤防火墙。
访问控制,每个数据包的源ip地址,目的ip地址,端口号,协议等等进行组合式监控,由此来判断数据包是否允许通过。
3.通信的五要素和四要素
五要素:源/目的ip 端口 协议
四要素:源/目的ip 端口
4.四个表和五个链
4.1四个表
raw:连接跟踪,跟踪数据包的一种机制,配置了之后,可以加快防火墙的穿越速度(关闭raw里面的追踪)
mangle:修改数据包的标记 规则。
nat:地址转换的规则表
filter:包过滤规则表。根据预定义的规则,人工设置的规则,对符合条件的数据包进行过滤,也是iptables的默认表
四表是有优先级的:
raw-------->mangle------------->nat---------->filter
4.2五个链
prerouting链:处理数据 包进入本机之前的规则
input链:处理数据包进入本机的规则。
FORWARD:处理数据包转发到其他主机的规则
output:处理本机发出的数据包的规则,一般不做处理。
postrouting:处理数据包离开本机之后的规则NAT
5.防火墙管理选项:
-A 在指定链的末尾进行追加
-I(大写的i) 在指定链插入新的规则
-P 修改默认策略
-D 删除
-R 修改替换规则
-L 查看指定链当中的规则
-n 已数字形式显示规则
-v 查看详细信息
--line-numbers:给每个链中的规则进行编号查看
-F 清空指定链当中的规则
-X 清空自定义链的规则
-t:指定表名
6.匹配条件:
-p 可以指定数据包的协议类型
-s 指定数据包的源ip地址
-d 指定数据包的目的ip地址
-i 指定数据包进入本科的网络接口
-o 指定数据包离开本机的时候使用的网络接口
--sport 指定源端口
--dport 指定目的端口号
-j 后面跟随控制类型
7.控制类型:
ACCEPT:允许数据包通过
DROP:拒绝数据包通过,直接丢弃数据包,不给任何回应的信息
REJECT:拒绝,拒绝数据包通过,但是会给一个回应的信息
SNAT:修改数据包的源地址
DNAT:修改数据包的目的地址
8.指令
通用匹配规则:ip+端口+网段+接口(网卡设备)
iptables -F #清空规则
iptables -vnL INPUT --line-numbers#查看
iptables -t filter -A INPUT -p icmp -j REJECT #禁止所有主机ping本机
iptables -A INPUT -p icmp -j ACCEPT #允许ping通
ptables -I INPUT 1 -p icmp -j ACCEPT #指定序号插入,插入到第一条
iptables -t filter -I INPUT 1 -s 192.168.233.20 -p icmp -j REJECT #指定ip地址拒绝ping主机
iptables -t filter -I INPUT 1 -s 192.168.233.20,192.168.233.30 -p icmp -j REJECT #指定网段禁止ping主机
iptables -A INPUT -s 192.168.66.15 -p tcp --dport 80 -j REJECT #添加指定ip拒绝连接 httpd
iptables -D INPUT 2 #删除
iptables -R INPUT 1 -p icmp -j ACCEPT #修改
iptables -P INPUT DROP #修改默认策略
以上都是都是临时配置
systemctl restart iptables.service 重启直接恢复
9.隐藏扩展模块
-p 指定协议时,不需要使用-m指明扩展模块。 -m tcp
指定多端口匹配
iptables -A INPUT -p tcp --dport 22:80 -j REJECT 小的端口号在前面 大的写在后面
-m 显示匹配
-m扩展模块 明确指定类型 多端口 MAC地址 ip范围
-m multiport --sport --dport
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,53 -j REJECT 指定多个端口
ip地址的范围:-m iprange --src-range 源ip范围
-m iprange --dst-range 目的ip范围
iptables -A INPUT -p icmp -m iprange --src-range 192.168.233.20-192.168.233.30 -j REJECT /ip地址
iptables -A INPUT -m mac --mac-source 00:0c:29:fe:0a:6 -j REJECT /mac地址
10.备份和还原
iptables -vnL
iptables-save > /opt/iptables.bak
cd /opt
iptables -F
iptables-restore < /opt/iptables.bak
cat /etc/sysconfig/iptables
cat /opt/iptables.bak > /etc/sysconfig/iptables 默认策略 重启后就是他
11.自定义链
添加自定义链
iptables -N test
iptables -vnL
给自定义链改名
iptables -E test guoqi
iptables -I ky32 1-p icmp -j ACCEPT
iptables -I INPUT 1 -p icmp -j ky32
删除自定义规则和链 先删系统规则 然后删自定义规则 再删自定义链
iptables -vnL --line-numbers
iptables -D INPUT1
iptables -vnL --line-numbers
iptables -D ky32 1
iptables -vnL --line-numbers
iptables -X ky32