电子商务网站建设与管理的感受,菜鸟教程自学网,网站备案 密码找回,在百度上怎么搜到自己的网站目录
安全技术
防火墙的分类
按保护范围划分
按实现方式划分
按网络协议划分
应用层防火墙#xff08;7层#xff09;
防火墙的工作原理
linux防火墙的基本认识
防火墙工具介绍
1.iptables
2.firewalld
3.nftables 安全技术
—— 入侵检测系统#xff08;Intru…目录
安全技术
防火墙的分类
按保护范围划分
按实现方式划分
按网络协议划分
应用层防火墙7层
防火墙的工作原理
linux防火墙的基本认识
防火墙工具介绍
1.iptables
2.firewalld
3.nftables 安全技术
—— 入侵检测系统Intrusion Detection Systems
特点是不阻断任何网络访问量化、定位来自内外网络的威胁情况主要以提供报警和事后监督为主提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署默默的看着你方式
—— 入侵防御系统Intrusion Prevention System
以透明模式工作分析数据包的内容如溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断在判定为攻击行为后立即予以 阻断主动而有效的保护网络的安全一般采用在线部署方式必经之路
—— 防火墙 FireWall
隔离功能工作在网络或主机边缘对进出网络或主机的数据包基于一定的规则检查并在匹配某规则时由规则定义的行为进行处理的一组功能的组件基本上的实现都是默 认情况下关闭所有的通过型访问只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中. 防火墙的分类
按保护范围划分
主机防火墙服务范围为当前一台主机
网络防火墙服务范围为防火墙一侧的局域网 按实现方式划分
硬件防火墙在专用硬件级别实现部分功能的防火墙另一个部分功能基于软件实现
软件防火墙运行于通用硬件平台之上的防火墙的应用软件 按网络协议划分
网络层防火墙OSI模型下四层又称为包过滤防火墙
应用层防火墙/代理服务器proxy 代理网关OSI模型七层 应用层防火墙7层
应用层防火墙/代理服务型防火墙也称为代理服务器Proxy Server)
将所有跨越防火墙的网络通信链路分为两段
内外网用户的访问都是通过代理服务器上的“链接”来实现优点在应用层对数据进行检查比较安全
缺点增加防火墙的负载 正向代理也就是翻墙代理的是客户端
可以绕开防火墙限制加快访问速度 反向代理代理的是服务器
负载均衡lvshaproxynginx 防火墙的工作原理
接收数据包
数据包为mac头部 ip头部 协议/端口 7层协议http) 真实数据 校验位
过程
收包拆包检查没问题装包
收包拆包检查有问题隔离或者丢弃
4层原理传输层 通过协议端口号ipmac控制流量
7层原理应用层控制真实数据协议7层协议httpdns等端口号mac地址ip地址 linux防火墙的基本认识
—— Linux防火墙是由Netfilter组件提供的Netfilter工作在内核空间集成在linux内核中
—— Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制是linux内核的一个子系统Netfilter采用模块化设计具有良好的可扩充性提供扩展各种网络服务的结构化底层框架Netfilter与IP协议栈是无缝契合并允许对数据报进行过滤、地址转换、处理等操作 防火墙工具介绍
1.iptables
由软件包iptables提供的命令行工具工作在用户空间用来编写规则写好的规则被送往netfilter告诉内核如何去处理信息包 2.firewalld
从CentOS 7 版开始引入了新的前端管理工具
软件包
firewalld
firewalld-config
管理工具
firewall-cmd 命令行工具
firewall-config 图形工作 3.nftables
五个勾子函数和报文流向
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、
PREROUTING、POSTROUTING)而这五个hook function向用户开放用户可以通过一个命令工具iptables向其写入规则
由信息过滤表table组成包含控制IP包处理的规则集rules规则被分组放在链chain上提示从 Linux kernel 4.2 版以后Netfilter 在prerouting 前加了一个 ingress 勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量这个新挂钩比预路由要早基本上是 tc 命令流量控制工具的替代品 内核中数据包的传输过程
—— 当一个数据包进入网卡时数据包首先进入 PREROUTING链内核根据数据包目的 IP判断是否需要传送出去
—— 如果数据包是进入本机的数据包就会沿着图向下移动到达 INPUT链数据包到达 INPUT链之后任何进程都会收到它本机上运行的程序可以发送数据包这些数据包经过 OUTPUT链然后到达 —— 如果数据包是要转发出去的且内核允许转发数据包就会向右移动经过 FORWARD链然后到达 POSTROUTING链输出 四表五链
四表 raw表 确定是否对该数据包进行状态跟踪 mangle表 为数据包设置标记 nat表 修改数据包中的源目标IP地址或端口 filter表 确定是否方向该数据包 五链 pre_routing 路由选择前 post_routing 路由选择后 input 进入本机 output 出本机 forward 转发 iptables 命令
基本语法 iptables -t 指定表 子命令 指定链 规制
//例
iptables -t filter -A INPUT -s 192.168.88.40 -j DROP 选项
iptables作用-A在指定链末尾追加一条-I在指定链插入一条新的-P指定默认规则-D删除-R修改替换某一条规则-F清除链中所有规则-N新加自定义链-X清空自定义链的规则不影响其他链-Z清空链的计数器-S看链的所有规则
规则选项
规则选项作用-s源地址-d目的地址-ptcp 、udp 、icmp协议-i进口网卡-o出口网卡--sport源端口--dport目标端口
跳转选项
跳转选项作用DPOR丢弃REJECT拒绝ACCEPT允许 命令举例
查看规则表 iptables -vnL #查看规则表 v详细 n数字化 L大写防火墙列表
