Linux 防火墙

1 安全技术和防火墙

1.1 安全技术

  • 入侵检测与管理系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式
  • 入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出
    攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在线部署方式
  • 防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定
    的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略

1.2 防火墙的分类

  • 按保护范围划分:

    • 主机防火墙:服务范围为当前主机
    • 网络防火墙:服务范围为防火墙一侧的局域网
  • 按实现方式划分:
    • 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为,天融信Checkpoint,NetScreen等
    • 软件防火墙:运行于通用硬件平台之上的防火墙的应用软件
  • 按网络协议划分:
    • 网络层防火墙:OSI模型下四层
    • 应用层防火墙/代理服务器:代理网关,OSI模型七层
      包过滤防火墙

      网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表(ACL),通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过
      优点:对用户来说透明,处理速度快且易于维护
      缺点:无法检查应用层数据,如病毒等

应用层防火墙

应用层防火墙/代理服务型防火墙,也称为代理服务器(Proxy Server)
将所有跨越防火墙的网络通信链路分为两段内外网用户的访问都是通过代理服务器上的“链接”来实现
优点:在应用层对数据进行检查,比较安全
缺点:增加防火墙的负载

  • 提示:现实生产环境中所使用的防火墙一般都是二者结合体,即先检查网络数据,通过之后再送到应用层去检查

2 防火墙工具介绍

2.1 iptables

由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包

[root@centos8 ~]# iptables --version
iptables v1.8.2 (nf_tables)
[root@centos8 ~]#ll /usr/sbin/iptables
lrwxrwxrwx. 1 root root 17 May 11 2019 /usr/sbin/iptables -> xtables-nft-multi[root@centos7 ~]#ll /usr/sbin/iptables
lrwxrwxrwx. 1 root root 13 Dec 9 2018 /usr/sbin/iptables -> xtables-multi
[root@centos7 ~]# iptables --version
iptables v1.4.21[root@centos6 ~]#iptables --version
iptables v1.4.7
[root@centos6 ~]#ll /sbin/iptables
lrwxrwxrwx. 1 root root 33 Dec 12 2018 /sbin/iptables ->
/etc/alternatives/iptables.x86_64
[root@centos6 ~]#ll /etc/alternatives/iptables.x86_64
lrwxrwxrwx. 1 root root 20 Dec 12 2018 /etc/alternatives/iptables.x86_64 ->
/sbin/iptables-1.4.7
[root@centos6 ~]#ll /sbin/iptables
lrwxrwxrwx. 1 root root 33 Dec 12 2018 /sbin/iptables -> /etc/alternatives/iptables.x86_64

2.2 firewalld

从CentOS 7 版开始引入了新的前端管理工具

  • 软件包:

    • firewalld
    • firewalld-config
  • 管理工具:
    • firewall-cmd 命令行工具
    • firewall-config 图形工作

2.3 nftables

此软件是CentOS 8 新特性,Nftables最初在法国巴黎的Netfilter Workshop 2008上发表,然后由长期的netfilter核心团队成员和项目负责人Patrick McHardy于2009年3月发布。它在2013年末合并到Linux内核中,自2014年以来已在内核3.13中可用。它重用了netfilter框架的许多部分,例如连接跟踪和NAT功能。它还保留了命名法和基本iptables设计的几个部分,例如表,链和规则。就像iptables一样,表充当链的容器,并且链包含单独的规则,这些规则可以执行操作,例如丢弃数据包,移至下一个规则或跳至新链。从用户的角度来看,nftables添加了一个名为nft的新工具,该工具替代了iptables,arptables和ebtables中的所有其他工具。从体系结构的角度来看,它还替换了内核中处理数据包过滤规则集运行时评估的那些部分。

[root@centos8 ~]#rpm -qi nftables
Name : nftables
Epoch : 1
Version : 0.9.0
Release : 8.el8
Architecture: x86_64
Install Date: Wed 25 Sep 2019 09:29:06 PM CST
Group : Unspecified
Size : 758622
License : GPLv2
Signature : RSA/SHA256, Tue 02 Jul 2019 08:19:09 AM CST, Key ID
05b555b38483c65d
Source RPM : nftables-0.9.0-8.el8.src.rpm
Build Date : Sat 11 May 2019 11:06:46 PM CST
Build Host : x86-01.mbox.centos.org
Relocations : (not relocatable)
Packager : CentOS Buildsys <bugs@centos.org>
Vendor : CentOS
URL : http://netfilter.org/projects/nftables/
Summary : Netfilter Tables userspace utillites
Description :
Netfilter Tables userspace utilities.

3 netfilter 中五个勾子函数和报文流向

Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则
由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上

提示:从 Linux kernel 4.2 版以后,Netfilter 在prerouting 前加了一个 ingress 勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量,这个新挂钩比预路由要早,基本上是 tc 命令(流量控制工具)的替代品

  • 三种报文流向

    • 流入本机:PREROUTING --> INPUT–>用户空间进程
    • 流出本机:用户空间进程 -->OUTPUT–> POSTROUTING
    • 转发:PREROUTING --> FORWARD --> POSTROUTING

Linux 防火墙简介相关推荐

  1. linux防火墙简介

    防火墙 隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许 ...

  2. Linux防火墙入门:简介(转)

    Linux防火墙入门:简介(转) 前言 一旦连上网络,就充满各种危机. 许多人基于各式各样的理由,想侵入你的系统,这种人俗称为 cracker.尤有甚者,近年来,cracker 圈里流行一种结合病毒行 ...

  3. (一)linux系统简介, centos简介及特点,设置静态IP,防火墙

    本章重点 linux系统简介及特点 下载安装 网络和防火墙的相关命令 具体内容 linux系统简介: Linux 内核最初只是由芬兰人林纳斯·托瓦兹(Linus Torvalds) 在赫尔辛基大学上学 ...

  4. Linux防火墙与iptables命令

    Linux防火墙与iptables命令 防火墙概念 一.Firewalld与iptables简介 1.1Firewalld 1.2Firewalld.iptables 二.iptables 2.1四表 ...

  5. 世界级安全技术专家力作——《Linux防火墙》

    媒体评论 我看过数百部安全技术方面的著作,但本书可谓出类拔萃,我是一个FreeBSD用户,但在看过这本书后,我已在考虑在某些场合使用Linux了! --Richard Bejtlich,通用电气公司应 ...

  6. linux防火墙常用控制协议,linux防火墙配置及管理.doc

    linux防火墙配置与管理2 ufw防火墙简介 我们在工作中使用防火墙保护服务器的网络服务,实际上是通过防火墙来拒绝对服务器的访问.iptable 工具根据系统管理员编写的一系列规则筛选网络数据包对于 ...

  7. 防火墙简介(一)——iptables防火墙

    防火墙简介(一)--iptables防火墙 一.iptables防火墙 1.iptables概述 2.netfilter 和 iptables ①.netfilter ②.iptables ③.net ...

  8. linux防火墙策略文件夹,Linux防火墙iptables的策略

    iptables策略 iptables -L #查看现有防火墙所有策略 iptables -F #清除现有防火墙策略 只允许特定流量通过,禁用其他流量 1.允许SSH流量(重要) iptables - ...

  9. linux防火墙ip黑名单,【转】Linux防火墙(iptables)之黑名单

    iptables删除规则 So if you would like to delete second rule : iptables -D INPUT 2 ---------------------- ...

最新文章

  1. RDKit | 基于RDKit探索ChEMBL数据库中合成药物历史
  2. php.ini配置文件详解
  3. Linux服务器init 5启动图形界面,报错Retrigger failed udev events的解决方法
  4. POJ 1821 单调队列+dp
  5. dojo Quick Start/dojo入门手册--面向对象,定义Class
  6. quot;蓝筹quot;如何使程序猿?
  7. 关于智能制造的思考——以中航工业为例
  8. 论文阅读:Dual Reader-Parser on Hybrid Textual and Tabular Evidence for Open Domain Question Answering
  9. 组态王c语言延时1秒,(组态王软件详细教程第三讲让画面动起来.doc
  10. LiveData setValue和postValue源码解析
  11. mips架构中断流程
  12. UG NX 10 草图基础知识和概念
  13. modbus通讯协议详解
  14. pta c语言作业,C语言PTA平台习题与答案
  15. Spark 和 Python.sklearn:使用随机森林计算 feature_importance 特征重要性
  16. 鸿蒙系统如何进入语音助手,原来华为手机的语音助手还可以这么玩,九个实用技能分享给你...
  17. Python当中reverse()函数
  18. 记 · 再看 · 前端社区氛围
  19. suse种运行wkhtmltopdf
  20. wParam与 lParam

热门文章

  1. U3D Addressables异步加载资源,创建大物体卡顿解决方案
  2. SVD 与 LSI教程(5):LSI关键字研究与协同理论
  3. 卷积神经网络之前向传播算法
  4. 神经架构搜索(NAS)2020最新综述:挑战与解决方案
  5. person reid demo郑哲东 Deep ReID
  6. SAP现金管理(Cash Management)的常见问题
  7. python 根据经纬度 调取和显示地图_python3调取百度地图API输出某地点的经纬度信息...
  8. 住院病人主要由护士护理,这不仅需要大量的护士,而且不能随时观察危重病病情,会延误抢救时机以计算机为中心的患者监护系统,写出系统的可行性。并可以系统印出某个指定病人的病情报告。...
  9. arm linux kernel 从入口到start_kernel 的代码分析
  10. ACID特性的实现原理与MySQL事务的关系