安全管理和防火墙
一,安全技术和防火墙
1、安全技术
入侵检测系统(监控):特点不阻断任何网络访问,量化,定位来自网络内外网络的威胁情况,主要以提供报警和事后监督责任为主,提供有针对性的指导措施
入侵防御系统:以透明模式工作,分析数据包的内容如:溢出攻击
防火墙:隔离功能,工作在网络和主机边缘
2、防水墙
广泛意义上的防水墙:防水墙,与防火墙相对,是一种防止内部信息泄露的安全产品,网络,外设接口,存储介质和打印机构成信息泄露的全部途径,。防火墙针对这四种泄密途径,在事前,中,后进行全面防护。与其防病毒产品,外部安全产品一起完成完整的网络安全体系。
二,Linux防火墙的基本知识
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中 Netfilter是Linux 2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。
1、防火墙工具介绍
2、 iptables
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包
3、 firewalld
从CentOS 7版开始引入了新的前端管理工具软件包: firewalld firewalld-config管理工具: firewall-cmd命令行工具firewall-config图形工作
4、firewalled 介绍
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4、IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置
永久配置
5、Firewalld防火墙的配置方法
运行时配置
●实时生效,并持续至Firewalld重新启动或重新加载配置
●不中断现有连接
●不能修改服务配置永久配置
●不立即生效,除非Firewalld重新启动或重新加载配置
●中断现有连接 可以修改服务配置
6、firewalld和iptables区别
Firewalld iptables
配置文件
/usr/lib/firewalld/
/etc/firewalld/
/etc/syscongfig/iptables
对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接
防火墙类型 动态防火墙 静态防火墙
7、netfilter(网络层防火墙)
位于Linux内核中的包过滤功能体系称
为Linux防火墙的“内核态”
8、iptables(应用层防火墙)用来管理防火墙的工具
位于/sbin/iptables,用来管理防火墙规则的工具
称为Linux防火墙的“用户态”
——上述2种称呼都可以表示Linux防火墙
包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上
临时关闭防火墙
启动防火墙
重启防火墙
永久关闭防火墙
三、iptables的表、链结构
五个规则链
规则的作用:对数据包进行过滤或处理链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机
INPUT:处理入站数据包
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
POSTROUTING链:在进行路由选择后处理数据包
PREROUTING链:在进行路由选择前处理数据包
4个规则表
raw表:确定是否对该数据包进行状态跟踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标lP地址或端口
filter表:确定是否放行该数据包(过滤)
规则表之间的顺序
raw→mangle→nat→>filter规则链之间的顺序 入站:PREROUTING→INPUT
出站: OUTPUT>POSTROUTING
转发: PREROUTING>FORWARD→>POSTROUTING
规则链内的匹配顺序
按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配的规则,则按该链的默认策略处理
内核中数据包的传输过程
1.当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去 2.如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达 3.如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出
