防火墙配置及策略

目录

防火墙，防火墙的配置和策略。

1、安全技术：

2、保护范围：

3、iptables就是包过滤防火墙

3.1通信的五要素和四要素

3.1.1五要素：

3.1.2四要素:

4、iptables由四个表组成：

4.1每个表都有5个链

4.2格式:

4.2.1管理选项：

4.2.2匹配条件：

4.2.3控制类型：

4.2.4规则内的匹配顺序：

4.2.5匹配规则：

---

防火墙，防火墙的配置和策略。

1、安全技术：

入侵检测系统：特点是不阻断网络的访问，量化，定位的方式来锁定内外网络的危险情况，提供告警服务和事后监督为主。没有任何主动行为。

入侵防御系统：以透明模式进行工作，分析数据包，木马，病毒，服务器攻击等等进行准确的分析判断。判定之后立刻阻断。

主动的有效的保护网络安全。

是所有数据进入指定网络的必经之路。

防火墙就是防御入侵系统（人工配置或者系统预设）：隔离，工作在网络或者主机的边缘。

对进出网络或者主机的数据包基于一定的规则的检查，而且在匹配到某规则时，又规则的定义做出相应的处理动作。只有允许策略的数据包，才能够通过。

防水墙：ensp不透明的工作方式，你干什么都有记录，但你自己不知道。

2、保护范围：

主机防火墙：只能保护当前一台主机。

网络防火墙：可以保护整个防火墙另一侧的局域网。

按网络协议：网络层防火墙（iptables firewalld 包过滤防火墙）和应用层防火墙

3、iptables就是包过滤防火墙

3.1通信的五要素和四要素

3.1.1五要素：

源ip和目的ip

源端口和目的端口

协议(tcpludp)

3.1.2四要素:

源ip和目的ip

源端口和目的端口

iptables：属于用户态防火墙。

用户态：面向使用对象，我们就是实用工具，配置策略。

内核态：代码层（开发）

iptables的配置规则生效之后，立即生效，无需重启。

centos7 以前，iptables是默认配置，现在默认的是firewalld。

7以后要使用iptables要把firewalld关闭。

4、iptables由四个表组成：

row表:控制数据包的状态跟踪，可以决定是都跳过后续的处理（关闭还是启用数据包的跟踪机制，加快数据包穿越防火墙的速度）

mangle表：修改数据包的头部信息（修改数据包的标记位规则）

nat表：用于网络地址转换，可以改变数据包的源ip地址和目的ip地址

filter表：是iptables的默认表，用于过滤数据包，可以控制数据包的进出，已经时候接受或者拒绝数据包。

4.1每个表都有5个链

INPUT链：数据包进入本机的规则

OUTPUT链:数据包出本机的规则

PRERROUTING链：数据包进入本机之前，是否需要做地址转换

POSTROUTING链：数据包离开本机是否需要做地址转发

FORWARD链：是否允许数据包通过本机进行转发

四个表-----5个链-----每个链里面都有对应的规则

规则就是我们人工配置的策略。

数据包进入本机之后，匹配表是由优先级的

row-------mangle-------nat--------filter

iptables命令的格式和相关选项:

4.2格式:

iptables -t 表名 管理选项链名 匹配条件 -j 控制类型

不加 -t 表名 默认就是filter表

不加链名，就是指所有链，不推荐如此操作。

4.2.1管理选项：

-A :在指定链的末尾追加一条

-I（大写i）：在指定链中插入一条新的规则，根据编号来进行插入，不指定序号，直接插入当前链中的第一条（不推荐）

-P：指定默认策略

-D：删除规则

-R：修改或者替换规则（不推荐）

-L：查看

v：显示详细信息

n：所有字段以数字形式显示

-F：清空链当中的所有规则（慎用）

-X：清空自定义链的规则

4.2.2匹配条件：

-p∶指定匹配数据包的协议类型

-s:指定匹配数据包的源ip地址

-d:指定匹配数据包的目的ip地址

-i:指定数据包进入本机的网络接口

-o:指定数据包离开本机使用的网络接口

--sport：指定源端口

--dport：指定目的端口

4.2.3控制类型：

ACCEPT:允许数据包通过

DROT:直接丢弃数据包，没有任何回应信息

REJECT：拒绝数据包通过，会给一个响应信息

SNAT：修改数据包的源地址

DNAT：修改数据包的目的地址

4.2.4规则内的匹配顺序：

自上向下按顺序依次进行检查，找到匹配的规则立刻停止，如果在链中招不到规则，则会按照该链的默认策略处理。

1、如果策略已保存过，写配置文件中的，保存，导入到iptables，重启服务器即可

2、机房调整

3、炸

-m iprange --src-range源ip范围

-m iprange --dst-range目的ip范围

-m mac --mac-source mac地址

-m mac --mac-destination mac地址

-i 数据的入口设备

-o 数据的出口设备

iptables -A INPUT -i ens33 -s 192.168.246.11,192.168.246.12 -j DROP

第一：

四表五链

表里有链，链里有规则

row----mangle----nat----filter

INPUT

OUTPUT

PREROUTING

POSTROUTING

FORWRAD

4.2.5匹配规则：

从上到下按照顺序依次检查，找到匹配的规则立刻停止匹配。找到匹配规则，会按照链的默认规则进行执行。

如果不指定表名：默认就是filter

iptables -t filter -A

末尾添加

iptables -t filter -I

指定编号追加

-D删除

-R：修改或者替换规则（不推荐）

-L：查看

v：显示详细信息

n：所有字段以数字形式显示

-F：清空链当中的所有规则（慎用）

-p∶指定匹配数据包的协议类型

-s:指定匹配数据包的源ip地址

-d:指定匹配数据包的目的ip地址

-i:指定数据包进入本机的网络接口

-o:指定数据包离开本机使用的网络接口

--sport：指定源端口

--dport：指定目的端口

-j控制类型

ACCEPT

REJECT 回显消息

DROP直接丢弃，没有任何消息

SNAT源地址转换

DNAT目的地址转换