Linux-防火墻
1.防火墻種類
硬件: 整個企業入口
- 三層路由: H3C 華為 Cisco(思科)
- 防火墻: 深信服,綠盟,奇安信.....
- Juniper
軟件: 開源軟件 網站內部 封ip 封ip
- iptables 寫入到Linux內核中,以后服務docker 工作在 4層(大部分)
- firewalld C7
- nftalbes C8
- ufw (ubuntu firewall) Ubuntu
云防火墻(公有云)
- 阿里云:
- 安全組 (封ip,封端口)
- NAT網關(共享上網,端口映射....)
- waf應用防火墻
waf防火墻(應用防火墻,處理7層的攻擊) SQL注入,等攻擊.
- 書寫規則(描述攻擊過程,關鍵提示,關鍵操作.)
2.關鍵名詞
- 容器: 瓶子 罐子 存放東西
- 表(table): 存放鏈的容器,防火墻最大概念
- 鏈(chain): 存放規則的容器
- 規則(policy): 準許或拒絕規則 ,未來書寫的防火墻條件就是各種防火墻規則
3.iptables執行過程
工作流程小結:※※※※※
1. 防火墻是層層過濾的,實際是按照配置規則的順序從上到下,從前到后進行過濾的。
2. 如果匹配成功規則,即明確表示是拒絕(DROP)還是接收(ACCEPT),數據包就不再向下匹配新的規則。
3. 如果規則中沒有明確表明是阻止還是通過的,也就是沒有匹配規則,向下進行匹配,直到匹配默認規則得到明確的阻止還是通過。
4. 防火墻的默認規則是所有規則都匹配完才會匹配的。
4.表與鏈
- 表(table)是對功能的分類,防火墻功能(filter表),共享上網,端口轉發(nat表)
- 鏈對數據流進行處理,需要使用不同的鏈(數據流入(INPUT),數據流出(OUTPUT))
- iptables 是4表伍鏈
- 4表: filter 表 nat表 raw表 mangle表
- 伍鏈: INPUT OUTPUT FORWARD PREROUTING POSTROUTING
5.filter表
是iptables默認的表,filter表示過濾.
實現防火墻功能:(對數據包的filter過濾)屏蔽或準許,端口,ip
6.nat表
實現nat功能
- 實現共享上網(內網服務器上外網)
- 端口映射和ip映射
7.iptables命令參數
案例:禁止訪問22端口
#拒絕用戶訪問22端口 iptables -t filter -A INPUT -p tcp --dport 22 -j DROP #查看規則并加上序號 iptables -t filter -nL --line-number #刪除規則 iptables -t filter -D INPUT 1 #根據序號刪除
8.匹配ICMP類型
- ICMP(Internet Control Message Protocol)Internet控制報文協議 ping
- 整個網站核心
案例:通過防火墻規則 控制是否可以ping
精確的寫法是 iptables -t filter -I INPUT -p icmp ??icmp-type 8 -j DROP 簡單寫法 iptables -t filter -I INPUT -p icmp -j DROP
9.匹配網絡狀態(TCP/IP連接狀態)
- -m state --state 狀態即可.
- NEW:已經或將啟動新的連接
- ESTABLISHED:已建立的連接
- RELATED:正在啟動的新連接
- INVALID:非法或無法識別的
10.限制并發及速率
-m limit --limit n/{second/minute/hour}:
解釋:指定時間內的請求速率”n”為速率,后面為時間分別為:秒 分 時
-m limit ??limit 10/minute #每分鐘只能有10個數據包每6秒生成
11.防火墻規則的保存和恢復
- iptables-save 進行備份,默認輸出到屏幕
- iptables-restore 進行恢復,加上文件
- 寫入到/etc/sysconfig/iptables
12.iptables配置方式
- 逛公園模式: 默認規則是 ACCEPT
- 看電影模式: 默認規則是 DROP 白名單模式
默認是拒絕 去電影院
13.nat
- nat表用于實現nat功能. nat網絡地址轉換.
- 共享上網
- 端口轉發/端口映射
- ip映射
共享上網原理
共享上網流程:
- 1. 防火墻添加規則 SNAT\規則 nat表 POSTROUTING
- 2. 防火墻服務器 開啟ip轉發功能
- 3. 后端節點,配置網卡,讓網卡網關指向防火墻
- 4. 后端節點的網卡中配置DNS1=223.5.5.5 ,DNS2=223.6.6.6
14.端口轉發
15.小結
面試題: 防火墻4表伍鏈,處理流程.
防火墻filter表,禁用ip,端口.
防火墻nat表實現:共享上網,端口映射.
防火墻備份與恢復.
浙公網安備 33010602011771號