系统安全之防火墙
Posted 干饭小天才c
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了系统安全之防火墙相关的知识,希望对你有一定的参考价值。
目录
一,安全技术和防火墙
1.1,安全技术
入侵检测系统(监控):特点不阻断任何网络访问,量化,定位来自网络内外网络的威胁情况,主要以提供报警和事后监督责任为主,提供有针对性的指导措施
入侵防御系统:以透明模式工作,分析数据包的内容如:溢出攻击
防火墙:隔离功能,工作在网络和主机边缘
防水墙
广泛意义上的防水墙:防水墙,与防火墙相对,是一种防止内部信息泄露的安全产品,网络,外设接口,存储介质和打印机构成信息泄露的全部途径,。防火墙针对这四种泄密途径,在事前,中,后进行全面防护。与其防病毒产品,外部安全产品一起完成完整的网络安全体系。
1.2,防火墙的分类
按保护范围划分:
·主机防火墙:服务范围为当前一台主机
·网络防火墙:服务范围为防火墙一侧的局域网 按实现方式划分:
·硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为,山石hillstone,天融信,启明星辰,绿盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen(uniper2004年40亿美元收购)等
·软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows防火墙ISA -->Forefront TMG 按网络协议划分:
·网络层防火墙:OSI模型下四层,又称为包过滤防火墙
·应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层
包过滤防火墙
网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表(ACL),通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过
优点:对用户来说透明,处理速度快且易于维护缺点:无法检查应用层数据,如病毒等
缺点:无法检查应用层数据,如病毒等
应用层防火墙
应用层防火墙/代理服务型防火墙,也称为代理服务器(Proxy Server)将所有跨越防火墙的网络通信链路分为两段 内外网用户的访问都是通过代理服务器上的"链接"来实现优点:在应用层对数据进行检查,比较安全缺点:增加防火墙的负载I
提示:现实生产环境中所使用的防火墙一般都是二者结合体,即先检查网络数据,通过之后再送到应用层去检查
二,Linux防火墙的基本知识
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中 Netfilter是Linux 2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作 Netfilter官网文档: https://netfilter.org/documentation/
1防火墙工具介绍
2.1 iptables
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包
2.2 firewalld
从CentOS 7版开始引入了新的前端管理工具软件包: firewalld firewalld-config管理工具: firewall-cmd命令行工具firewall-config图形工作
2.3netfulter中五个勾子函数和报文流向
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则。 由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上提示:从Linux kernel 4.2版以后,Netfilter在prerouting前加了一个ingress勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量,这个新挂钩比预路由要早,基本上是tc命令(流量控制工具)的替代品。
2.4firewall服务
2.4.1firewalled 介绍
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4、IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置
永久配置
Firewalld防火墙的配置方法
运行时配置
●实时生效,并持续至Firewalld重新启动或重新加载配置
●不中断现有连接
●不能修改服务配置永久配置
●不立即生效,除非Firewalld重新启动或重新加载配置
●中断现有连接 可以修改服务配置
2.4.2firewalld和iptables区别
| Firewalld | iptables | |
| 配置文件 | /usr/lib/firewalld/ /etc/firewalld/ | /etc/syscongfig/iptables |
| 对规则的修改 | 不需要全部刷新策略,不丢失现行连接 | 需要全部刷新策略,丢失连接 |
| 防火墙类型 | 动态防火墙 | 静态防火墙 |
2.5.1命令行配置
firewalld预定义服务配置 . firewall-cmd --get-services查看预定义服务列表
/usrllib/firewalld/services/*.xml预定义服务的配置
firewalld三种配置方法
firewall-config图形工具:需安装firewall-config包
firewall-cmd命令行工具: firewalld包,默认安装 ./etc/firewalld/配置文件,一般不建议,如:/etc/firewalld/zones/public.xml
可以打开Xmanager - Passive
小操作:禁止ping:
2.5.3其它规则
Kgc.cn Firewalld网络区域2-1 区域介绍
●区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
●可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
●默认情况下,public区域是默认区域,包含所有接口 (网卡)
三,总结
学习了防火墙的基础知识,可以进入图形界面完成操作,需要熟练掌如何通过配置,禁止主机ping服务器,允许所有主机访问ssh服务(该地方需要勾选SSH服务)。
以上是关于系统安全之防火墙的主要内容,如果未能解决你的问题,请参考以下文章
保证Linux系统安全之firewalld防火墙配置地址伪装和端口转发详解