防火墙配置及策略

目录

防火墙,防火墙的配置和策略。

1、安全技术:

2、保护范围:

3、iptables就是包过滤防火墙

3.1通信的五要素和四要素

3.1.1五要素:

3.1.2四要素:

4、iptables由四个表组成:

4.1每个表都有5个链

4.2格式:

4.2.1管理选项:

4.2.2匹配条件:

4.2.3控制类型:

4.2.4规则内的匹配顺序:

4.2.5匹配规则:


防火墙,防火墙的配置和策略。

1、安全技术:

入侵检测系统:特点是不阻断网络的访问,量化,定位的方式来锁定内外网络的危险情况,提供告警服务和事后监督为主。没有任何主动行为。

入侵防御系统:以透明模式进行工作,分析数据包,木马,病毒,服务器攻击等等进行准确的分析判断。判定之后立刻阻断。

主动的有效的保护网络安全。

是所有数据进入指定网络的必经之路。

防火墙就是防御入侵系统(人工配置或者系统预设):隔离,工作在网络或者主机的边缘。

对进出网络或者主机的数据包基于一定的规则的检查,而且在匹配到某规则时,又规则的定义做出相应的处理动作。只有允许策略的数据包,才能够通过。

防水墙:ensp不透明的工作方式,你干什么都有记录,但你自己不知道。

2、保护范围:

主机防火墙:只能保护当前一台主机。

网络防火墙:可以保护整个防火墙另一侧的局域网。

按网络协议:网络层防火墙(iptables firewalld 包过滤防火墙)和应用层防火墙

3、iptables就是包过滤防火墙

3.1通信的五要素和四要素
3.1.1五要素:

源ip和目的ip

源端口和目的端口

协议(tcpludp)

3.1.2四要素:

源ip和目的ip

源端口和目的端口

iptables:属于用户态防火墙

用户态:面向使用对象,我们就是实用工具,配置策略。

内核态:代码层(开发)

iptables的配置规则生效之后,立即生效,无需重启。

centos7 以前,iptables是默认配置,现在默认的是firewalld。

7以后要使用iptables要把firewalld关闭。

4、iptables由四个表组成:

row表:控制数据包的状态跟踪,可以决定是都跳过后续的处理(关闭还是启用数据包的跟踪机制,加快数据包穿越防火墙的速度)

mangle表:修改数据包的头部信息(修改数据包的标记位规则)

nat表:用于网络地址转换,可以改变数据包的源ip地址和目的ip地址

filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,已经时候接受或者拒绝数据包。

4.1每个表都有5个链

INPUT链:数据包进入本机的规则

OUTPUT链:数据包出本机的规则

PRERROUTING链:数据包进入本机之前,是否需要做地址转换

POSTROUTING链:数据包离开本机是否需要做地址转发

FORWARD链:是否允许数据包通过本机进行转发

四个表-----5个链-----每个链里面都有对应的规则

规则就是我们人工配置的策略。

数据包进入本机之后,匹配表是由优先级的

row-------mangle-------nat--------filter

iptables命令的格式和相关选项:

4.2格式:

iptables -t 表名 管理选项链名 匹配条件 -j 控制类型

不加 -t 表名 默认就是filter表

不加链名,就是指所有链,不推荐如此操作。

4.2.1管理选项:

-A :在指定链的末尾追加一条

-I(大写i):在指定链中插入一条新的规则,根据编号来进行插入,不指定序号,直接插入当前链中的第一条(不推荐)

-P:指定默认策略

-D:删除规则

-R:修改或者替换规则(不推荐)

-L:查看

v:显示详细信息

n:所有字段以数字形式显示

-F:清空链当中的所有规则(慎用)

-X:清空自定义链的规则

4.2.2匹配条件:

-p∶指定匹配数据包的协议类型

-s:指定匹配数据包的源ip地址

-d:指定匹配数据包的目的ip地址

-i:指定数据包进入本机的网络接口

-o:指定数据包离开本机使用的网络接口

--sport:指定源端口

--dport:指定目的端口

4.2.3控制类型:

ACCEPT:允许数据包通过

DROT:直接丢弃数据包,没有任何回应信息

REJECT:拒绝数据包通过,会给一个响应信息

SNAT:修改数据包的源地址

DNAT:修改数据包的目的地址

4.2.4规则内的匹配顺序:

自上向下按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中招不到规则,则会按照该链的默认策略处理。

1、如果策略已保存过,写配置文件中的,保存,导入到iptables,重启服务器即可

2、机房调整

3、炸

-m iprange --src-range源ip范围

-m iprange --dst-range目的ip范围

-m mac --mac-source mac地址

-m mac --mac-destination mac地址

-i 数据的入口设备

-o 数据的出口设备

iptables -A INPUT -i ens33 -s 192.168.246.11,192.168.246.12 -j DROP

第一:

四表五链

表里有链,链里有规则

row----mangle----nat----filter

INPUT

OUTPUT

PREROUTING

POSTROUTING

FORWRAD

4.2.5匹配规则:

从上到下按照顺序依次检查,找到匹配的规则立刻停止匹配。找到匹配规则,会按照链的默认规则进行执行。

如果不指定表名:默认就是filter

iptables -t filter -A

末尾添加

iptables -t filter -I

指定编号追加

-D删除

-R:修改或者替换规则(不推荐)

-L:查看

v:显示详细信息

n:所有字段以数字形式显示

-F:清空链当中的所有规则(慎用)

-p∶指定匹配数据包的协议类型

-s:指定匹配数据包的源ip地址

-d:指定匹配数据包的目的ip地址

-i:指定数据包进入本机的网络接口

-o:指定数据包离开本机使用的网络接口

--sport:指定源端口

--dport:指定目的端口

-j控制类型

ACCEPT

REJECT 回显消息

DROP直接丢弃,没有任何消息

SNAT源地址转换

DNAT目的地址转换

你可能感兴趣的:(linux,笔记)