Linux防火墙

目录

1.安全技术

2.防火墙的分类

按保护范围划分：

按实现方式划分：

按网络协议划分：

防火墙功能：

3.Linux防火墙基本认识

内核中数据包的传输过程

五链：

四表：

4.iptables实际操作

基本语法：

添加，查看规则表

如何设置白名单

 老用户可以正常访问，不让新用户访问

禁止tcp80端口通过

---

1.安全技术

• 入侵检测系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署（默默的看着你）方式。
• 入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以 阻断，主动而有效的保护网络的安全，一般采用在线部署方式。
• 防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默 认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。
• 广泛意义上的防水墙：防水墙（Waterwall），与防火墙相对，是一种防止内部信息泄漏的安全产品。   网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事  中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

2.防火墙的分类

按保护范围划分：

• 主机防火墙：服务范围为当前一台主机
• 网络防火墙：服务范围为防火墙一侧的局域网

按实现方式划分：

• 硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：华为， 山石hillstone,天融信，启明星辰，绿盟，深信服, PaloAlto , fortinet, Cisco, Checkpoint， NetScreen(Juniper2004年40亿美元收购)等
• 软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，Windows 防火墙 ISA --> Forefront

按网络协议划分：

• 网络层防火墙：OSI模型下四层，又称为包过滤防火墙
• 应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层
• 正向代理：代理的是客户端（绕开防火墙限制，加快访问速度）
• 反向代理：代理的是服务端

防火墙功能：

• 收包—拆包—检查没问题—装包
• 收包—拆包—检查有问题—隔离或丢弃

3.Linux防火墙基本认识

• Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中

内核中数据包的传输过程

• 1.当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要传送出去
• 2.如果数据包是进入本机的，数据包就会沿着图向下移动，到达INPUT链，数据包到达INPUT链之后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后到达
• 3.如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出

五链：

• pre_routing：路由选择前
• post_routing：路由选择后
• input：进入本机
• output：出本机
• forward：转发

四表：

• raw表：确定是否对该数据包进行状态跟踪
• mangle表：为数据包设置标记
• nat表：修改数据包中的源，目标IP地址或端口
• filter表：确定是否方向该数据包

4.iptables实际操作

基本语法：

iptables -t 指定表 子命令 指定链 规制
//例
iptables -t filter -A INPUT -s 192.168.88.40 -j DROP

 管理选项

• -A：在指定链末尾追加一条
• -I：在指定链插入一条新的
• -P：指定默认规则
• -D：删除
• -R：修改，替换某一条规则
• -F：清除链中所有规则
• -N：新加自定义链
• -X：清空自定义链的规则，不影响其他链
• -Z：清空链的计数器
• -S：看链的所有规则

规则选项

• -s：源地址
• -d：目的地址
• -p：tcp udp icmp协议
• -i：进口网卡
• -o：出口网卡
• --sport：源端口
• --dport：目标端口

跳转选项

• DPOR：丢弃
• REJECT：拒绝
• ACCEPT：允许

添加，查看规则表

iptables -vnL        //查看规则表 v详细 n数字化 L（大写）防火墙列表

如何设置白名单

 老用户可以正常访问，不让新用户访问

禁止tcp80端口通过