当前位置：首页 > news >正文

网站开发项目的规划与设计文档/友情链接免费发布平台

news 文章来源：https://blog.csdn.net/2302_78835233/article/details/132378909 2025/3/18 12:37:48

网站开发项目的规划与设计文档,友情链接免费发布平台,西宁专业网站建设,新浪云服务器做网站目录 1 安全技术 2 防火墙 2.1 防火墙的分类 2.1.1 包过滤防火墙 2.1.2 应用层防火墙 3 Linux 防火墙的基本认识 3.1 iptables & netfilter 3.2 四表五链 4 iptables 4.2 数据包的常见控制类型 4.3 实际操作 4.3.1 加新的防火墙规则 4.3.2 查看规则表 4.3.…

1 安全技术

2 防火墙

2.1 防火墙的分类

2.1.1 包过滤防火墙

2.1.2 应用层防火墙

3 Linux 防火墙的基本认识

3.1 iptables & netfilter

3.2 四表五链

4 iptables

4.2 数据包的常见控制类型

4.3 实际操作

4.3.1 加新的防火墙规则

4.3.2 查看规则表

4.3.3删除、清空、替换规则

4.3.4 设置默认策略

5 通用匹配

1 安全技术

入侵检测系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类似于监控系统一般采用旁路部署（默默的看着你）方式。
入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式。（必经之路）
防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中

防水墙
广泛意义上的防水墙：防水墙（Waterwall），与防火墙相对，是一种防止内部信息泄漏的安全产品。网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

2 防火墙

Linux系统的防火墙：IP信息包过滤系统，它实际上由两个组件netfilter和 iptables组成。

主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

2.1 防火墙的分类

按保护范围划分：

主机防火墙：服务范围为当前一台主机
网络防火墙：服务范围为防火墙一侧的局域网

按实现方式划分:

硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：华为，山石hillstone,天融信，启明星辰，绿盟，深信服, PaloAlto , fortinet, Cisco, Checkpoint， NetScreen(Juniper2004年40亿美元收购)等
软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，Windows 防火墙 ISA --> Forefront

按网络协议划分：

网络层防火墙：OSI模型下四层，又称为包过滤防火墙
应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层

2.1.1 包过滤防火墙

网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL），通过检查数据流中每个数据的源地址，目的地址，所用端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过

优点：对用户来说透明，处理速度快且易于维护

缺点：无法检查应用层数据，如病毒等

2.1.2 应用层防火墙

应用层防火墙/代理服务型防火墙，也称为代理服务器（Proxy Server)

将所有跨越防火墙的网络通信链路分为两段

内外网用户的访问都是通过代理服务器上的“链接”来实现优点：在应用层对数据进行检查，比较安全

缺点：增加防火墙的负载

提示：现实生产环境中所使用的防火墙一般都是二者结合体，即先检查网络数据，通过之后再送到应用层去检查

3 Linux 防火墙的基本认识

3.1 iptables & netfilter

iptables

位于/sbin/iptables
用来管理防火墙规则的工具称为Linux防火墙的“用户态”
它使插入、修改和删除数据包过滤表中的规则变得容易

netfilter

位于Linux内核中的包过滤功能体系
CentOS7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“内核态”（内核空间）
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

3.2 四表五链

四表

raw表	确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING
mangle表	修改数据包内容，用来做流量整形，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat表	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING
filter表	负责过滤数据包，确定是否放行该数据包(过滤)。包含三个规则链，INPUT、 FORWARD、 OUTPUT

五链

INPUT	处理入站数据包，匹配目标IP为本机的数据包。
OUTPUT	处理出站数据包，一般不在此链上做配置。
FORWARD	处理转发数据包，匹配流经本机的数据包。
PREROUTING链	在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING链	在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

规则表之间的顺序

raw->mangle>nat->filter

规则链之间的顺序

入站: PREROUTING>INPUT
出站: OUTPUT>POSTROUTING
转发: PREROUTING>FQRWARD>POSTROUTING

规则链内的匹配顺序

按顺序依次检查，匹配即停止 (LOG策略例外)
若找不到相匹配的规则，则按该链的默认策略处理

三种报文流向

流入本机：PREROUTING --> INPUT-->用户空间进程
流出本机：用户空间进程 -->OUTPUT--> POSTROUTING
转发：PREROUTING --> FORWARD --> POSTROUTING

4 iptables

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux 系统的防火墙体系基于内核编码实现，具有非常稳定的性能和高效率，也因此获得广泛的应用。

centos7默认使用firewalld防火墙，没有安装iptables，若想使用iptables防火墙，必须先关闭firewalld防火墙,再安装iptables

iptables防火墙的配置方法:

1、使用iptables命令行。
2、使用system-config-firewall centso7不能使用 centos 6可以使用

命令格式：

iptables  [-t 表名]  管理选项   [链名]   [匹配条件]   [-j 控制类型]-t   nat  filter    如果不指定  默认是filter

其中，表名、链名用来指定 iptables 命令所操作的表和链，未指定表名时将默认使用 filter 表；

管理选项:表示iptables规则的操作方式，如插入、增加、删除、查看等；
匹配条件:用来指定要处理的数据包的特征，不符合指定条件的数据包将不会处理；
控制类型指的是数据包的处理方式，如允许、拒绝、丢弃等。

**注意事项**：
不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写

4.2 数据包的常见控制类型

对于防火墙，数据包的控制类型非常关键，直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中，最常用的几种控制类型如下

- ACCEPT	允许数据包通过
- DROP	直接丢弃数据包，不给出任何回应信息
- REJECT	拒绝数据包通过，必要时会给数据发送端一个响应信息
- LOG	在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则
- SNAT	修改数据包的源地址
- DNAT	修改数据包的目的地址
- MASQUERADE	伪装成一个非固定公网IP地址

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例，因为 LOG 只是一种辅助动作，并没有真正处理数据包。

添加、查看、删除规则等基本操作

（注：需要大写 ）

-A	在指定链末尾追加一条 iptables -A INPUT （操作）
-I	在指定链中插入一条新的，未指定序号默认作为第一条 iptables -I INPUT （操作）
-P	指定默认规则 iptables -P OUTPUT ACCEPT （操作）
-D	删除 iptables -t nat -D INPUT 2 （操作）
-p	服务名称 icmp tcp
-R	修改、替换某一条规则 iptables -t nat -R INPUT （操作）
-L	查看 iptables -t nat -L （查看）
-n	所有字段以数字形式显示（比如任意ip地址是0.0.0.0而不是anywhere，比如显示协议端口号而不是服务名） iptables -L -n,iptables -nL,iptables -vnL （查看）
-v	查看时显示更详细信息，常跟-L一起使用（查看）
--line-number	规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number
-F	清除链中所有规则 iptables -F （操作）
-N	新加自定义链
-X	清空自定义链的规则，不影响其他链 iptables -X
-Z	清空链的计数器（匹配到的数据包的大小和总和）iptables -Z
-S	看链的所有规则或者某个链的规则/某个具体规则后面跟编号

列出(fliter)表中的所有链 iptables -L

4.3 实际操作

4.3.1 加新的防火墙规则

添加新的防火墙规则时，使用管理选项“-A”、“-I”，前者用来追加规则，后者用来插入规则。

iptables -t filter -A INPUT -p icmp -j REJECT   ## 不允许任何主机ping本主机

测试

4.3.2 查看规则表

查看已有的防火墙规则时，使用管理选项“-L”，结合“--line-numbers”

格式

iptables [-t表名] -n -L [链名] |[-- line-numbers]

使用数字形式(fliter)表所有链显示输出结果 iptables -nL

4.3.3删除、清空、替换规则

替换：
iptables -A INPUT -s 192.168.91.101 -j DROP
iptables -R INPUT 1 -s 192.168.91.101 -j ACCEPT iptables -D INPUT 5
iptables -L INPUT --line-numbers
iptables -t filter -D INPUT -p icmp - j REJECT

清空指定链或表中的所有防火墙规则，使用管理选项“-F”

清空表中所有链 iptables -t filter -F

4.注意:
1.若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条
2.按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
3.按内容匹配删数时，确保规则存在，否则报错

4.3.4 设置默认策略

ptables 的各条链中，默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时，则执行默认策略。默认策略的控制类型为 ACCEPT（允许）、DROP（丢弃）两种。例如，执行以下操作可以将 filter 表中 FORWARD 链的默认策略设为丢弃， OUTPUT 链的默认策略设为允许。

格式

iptables [-t表名] -P <链名> <控制类型>

iptables -P INPUT DROP      输入后没显示  
清除所有规则之后生效，因为下面只剩下DROP  添加远程端口22iptables -P FORWARD DROP
#--般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP，并设置白名单

iptables -t filter -P FORWARD DROP## 将 FORWARD 链的默认策略设置为 DROP，即丢弃所有转发的数据包。

iptables -P OUTPUT ACCEPT## 将 OUTPUT 链的默认策略设置为 ACCEPT，即允许所有的出站数据包通过。

5 通用匹配

直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。

协议匹配：-p 协议名
地址匹配：-s 源地址、-d 目的地址可以是IP、网段、域名、空（任何地址)
接口匹配：-i 入站网卡、-o出站网卡

iptables  -A   INPUT   -s 192.168.30.200   -j  DROP   
## 将来自 IP 地址为 192.168.52.120 的源地址的入站数据包丢弃。

测试

192.168.30.200 ping 不通本机（192.168.30.105）

iptables -t filter -A INPUT ! -p icmp -j ACCEPT  
##允许除 ICMP 协议以外的所有入站数据包通过。

1 安全技术

2 防火墙

2.1 防火墙的分类

2.1.1 包过滤防火墙

2.1.2 应用层防火墙

3 Linux 防火墙的基本认识

3.1 iptables & netfilter

3.2 四表五链

4 iptables

4.2 数据包的常见控制类型

4.3 实际操作

4.3.1 加新的防火墙规则

4.3.2 查看规则表

4.3.3删除、清空、替换规则

4.3.4 设置默认策略

5 通用匹配

相关文章：