Linux系统安全:安全技术和防火墙

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

  • 一、Linux系统安全:安全技术和防火墙
    • 1.安全技术:
    • 2.入侵防御系统 (Intrusion Prevention System) :
    • 3.防火墙 ( Erewall ) :
    • 4.防水墙:
    • 5.类型介绍:
    • 6.防火墙类型介绍:
  • 二、Linux 防火墙的基本认识
    • 1.包过滤防火墙
    • 2.iptables四表五链
    • 3.数据包的匹配过程
    • 4.数据包的常见控制类型
    • 5.实操
    • 6.通用匹配
    • 7.隐藏扩展和显示扩展匹配

一、Linux系统安全:安全技术和防火墙

1.安全技术:

入侵检测系统(Intrusion Detection Systems): 特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类似于监控系统,一般采用旁路部署的方式。

2.入侵防御系统 (Intrusion Prevention System) :

以透明模式工作,分析数据包的内容如: 溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在线部署方式。( 必经之路 )

3.防火墙 ( Erewall ) :

隔离功能,工作在网络或主机边缘,对进出网终或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。

4.防水墙:

与防火墙相对,是一种防止内部信息泄漏的安全产品’泛意义上的防水墙: 防水墙 (waterwa11)网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径,在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

5.类型介绍:

(1)传输层,网络层,数据链路层:
在这里插入图片描述
(2)划分方式:

1.按保护范围划分:主机防火墙: 服务范围为当前一台主机网络防火墙: 服务范围为防火墙一侧的局域网。

2.按实现方式划分:硬件防火墙: 在专用硬件级别实现部分功能的防火墙:另一个部分功能基于软件实现,如: 华为,山石hillstone,天融信,启明星辰,绿盟,深信服,PaloAlto,(Juniper2004年40亿美元收购) 等fortinet.。Cisco. Checkpoint,软件防火墙: 运行于通用硬件平台之上的防火墙的应用软件,,windows防火墙。

3.按网终协议划分:网络层防火墙: OSI模型下四层,又称为包过滤防火墙。应用层防火墙/代理服务器: proxy 代理网关,OSI模型七层

6.防火墙类型介绍:

(1)包过滤防火墙:网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制制列表 (ACL),通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。

优点: 对用户来说透明,处理速度快且易于维护。

缺点: 无法检查应用层数据,如病毒等

(2)应用层防火墙:应用层防火墙/代理服务型防火墙,也称为代理服务器 (Proxy server)将所有跨越防火墙的网络通信链路分为两段为外网用户的访问都是通过代理服务器上的"链接”来。

实现优点:在应用层对数据进行检查,比较安全。

缺点: 增加防火墙的负载提示:现实生产环境中所使用的防火墙一般都是二者结合体,即先检查网络数据,通过之后再送到应用层去检查

二、Linux 防火墙的基本认识

1.包过滤防火墙

(1)netfilter:位于Linux内核中的包过滤功能体系。称为Linux防火墙的“内核态。
(2)iptables:位于/sbin/iptables,用来管理防火墙规则的工具·称为Linux防火墙的“用户态。

通信五元素:源IP和目标IP,源端口和目标端口,协议。
通信四元素:源IP和目标IP,源端口和目标端口。

2.iptables四表五链

(1)规则表:
在这里插入图片描述
作用:容纳各种规则链。
划分依据:防火墙规则相似。

(2)规则链
在这里插入图片描述
规则的作用:对数据包进行过滤或处理。
规则链的作用:容纳各种防火墙规则。
链的分类依据:处理数据包的不同时机。

3.数据包的匹配过程

(1)规则表之间的顺序:raw->mangle->nat->filter

(2)规则链之间的顺序

入站: PREROUTING>INPUT
出站: OUTPUT>POSTROUTING
转发: PREROUTING>FORWARD>POSTROUTING

(3)按顺序查:raw表—mangle表—nat表—filter表(看input是否允许数据进,进不来直接丢弃)—路由转发(不允许转发,直接丢弃)—一般不对出数据限制—r,m,n,f—nat表(对数据进行地址转发)—出去,送达。

(4) 匹配流程示意图:
在这里插入图片描述(5)nat地址转换:

nat PREROUTING:目的地址转换,要把别人的公网IP换成你们内部的IP
nat POSTROUTING:源地址转换,要把你的内网地址转换成公网地址才能上网,一般用于对外发布内网的服务

4.数据包的常见控制类型

(1)常见控制类型

在这里插入图片描述
(2)常用选项:

在这里插入图片描述

5.实操

(1)查看规则表:

[root@test1 ~]# systemctl stop firewalld.service #安装iptables前先关闭防火墙和安全机制。
[root@test1 ~]# setenforce 0
[root@test1 ~]# iptables -vnL #详细查看规则表,默认是filter表

(2)指定拒绝IP地址:

1.[root@test1 ~]# iptables -t filter -I INPUT 1 -s 192.168.174.13 -p icmp -j REJECT
[root@test1 ~]# ping 192.168.174.13
PING 192.168.174.13 (192.168.174.13) 56(84) bytes of data.
^C
--- 192.168.174.13 ping statistics ---
46 packets transmitted, 0 received, 100% packet loss, time 45076ms
2.[root@test1 ~]# iptables -t filter -I INPUT 1 -s 192.168.174.13,192.168.174.14 -p icmp -j REJECT #拒绝多个

(3)拒绝数据链出去:

[root@test1 ~]# iptables -t filter -A OUTPUT 1 -s 192.168.174.13 -p icmp -j REJECT

(4)指定端口拒绝服务器:

[root@test1 ~]# iptables -A INPUT -s 192.168.174.13 -p tcp --dport 80 -j REJECT

(5)删除:

1.[root@test1 ~]# iptables -D INPUT 1 #指定序号删除
2.[root@test1 ~]# iptables -D INPUT 1 -p icmp -j REJECT #去重删除

(6)修改规则:

[root@test1 ~]# iptables -R INPUT 1 -p icmp -j ACCEPT #慎用

6.通用匹配

(1)定义:包含网络协议,IP地址,端口号,网络接口(网卡设备)

(2)基础运用:

1.[root@test1 ~]# iptables -A INPUT ! -p icmp -j ACCEPT #假取反,默认规则仍是accept,不生效
[root@test1 ~]# iptables -A INPUT DROP #修改默认策略为drop才生效
2. [root@test1 ~]# iptables -A INPUT -s 192.168.174.12 -j DROP #禁止网址
3.[root@test1 ~]# iptables -I INPUT -i ens33 -s 192.168.174.0/24 -j DROP #禁止网段
4.[root@test1 ~]# iptables -A INPUT  -s 192.168.174.0/24 -p tcp --dport 80 -j DROP #禁止端口

7.隐藏扩展和显示扩展匹配

(1)隐藏扩展:

1.[root@test1 ~]# iptables -A INPUT -s 192.168..174.12-p tcp --dport 22:80 -j REJECT #端口隐藏扩展,端口号小的放前

(2)显示扩展

1.[root@test1 ~]# iptables -A INPUT -s 192.168.174.13 -p tcp -m multiport --dport 80,22,21,20 -j REJECT #指定禁止多端口

(3)IP范围:

-m iprange --src-range #源IP范围
-m iprange --dst-range #目的IP范围
1.[root@test1 ~]# iptables -A INPUT -p icmp -m iprange --src-range 192.168.174.12-192.168.174.30 -j REJECT #指定禁止IP范围
2. [root@test1 ~]# iptables -A INPUT -m mac --mac--source 00:0c:29:67:c3:2b -j DROP #指定禁止MAC地址

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/9014.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

GPT模型训练实践(3)-参数训练和代码实践

一、参数训练 GPT模型参数的训练过程宏观上有两个大环节,先从上往下进行推理,再从下往上进行训练,具体过程为: 1、模型初始化参数随机取得; 2、计算模型输出与真实数据的差距(损失值和梯度) …

Linux 6.5增加对高通开源GPU Adreno 690的支持

导读即将推出的Linux 6.5内核将把对高通Adreno 690 GPU的支持添加到开源的MSM内核图形/显示驱动程序中。A690主要用于骁龙8cx第三代(SC8280XP)平台,而联想ThinkPad X13s笔记本电脑和其他硬件也采用了该平台。 新的支持将包含近200行代码&…

JS数据分组引发的思考

我们经常需要对数据进行分组(分类),得到需要的格式。 1.简单示例 例如有一份对象数组的数据 const data [{ name: Liam, age: 18, sex: male },{ name: Bob, age: 20, sex: male },{ name: Diana, age: 21, sex: female },{ name: Grace, age: 20, sex: female }…

【云原生丶Kubernetes】Kubernetes初体验

人生若只如初见,何事秋风悲画扇。 前言 Kubernetes 是目前最流行的容器编排工具之一,由Google开发并维护。它提供了完整的容器编排解决方案,包括自动化部署、资源管理和调度、服务发现和负载均衡等功能。 然而,对于初学者来说&a…

【Linux】文件描述符(下篇)

文章目录 📖 前言1. 文件描述符fd的分配规则2. 重定向的本质3. 缓冲区的理解3.1 感受缓冲区的存在:3.2 正式认识缓冲区:综合例题: 4. 模拟实现C语言的文件操作5. 完善之前实现的shell5.1 程序替换,会影响曾经子进程打开…

决策树 ID3 手工推导

掌握决策树ID3算法的原理,通过增益熵实现手工推导的过程。 参考案例:https://cuijiahua.com/blog/2017/11/ml_2_decision_tree_1.html 机器学习实战教程(二):决策树基础篇之让我们从相亲说起 决策树 ID3 手工推导 决策树 ID3 简介 ID3作为一种…

多个微信号如何管理?

很多公司都在发愁这几个问题: 1、拥有多个微信号,不想管理多台手机,想将所有微信号进行统一管理 2、想用软件来代替传统的营销体系,安全性上也要有保障 3、用人成本太大与公司的效益不成正比 4、多个账号发圈不方便&#xff0…

Neo4j docker 部署

想要运行简单测试一下neo4j,就直接使用docker创建了一个容器,并用cypher-shell本地连接neo4j,创建图进行测试。 1 开启docker sudo systemctl start docker2 拉取镜像源 sudo docker pull neo4j # 默认latest版本3 查看本地镜像&#xff0…

ElasticSearch学习02——Kibana安装

ElasticSearch学习02——Windows下Kibana安装 Kibana是界面化的查询数据的工具,下载时尽量下载与ElasicSearch一致的版本。 1、下载对应版本的Kibana ​ 有了ElasticSearch安装的经验,我们发现了ES和JDK有着版本对应的关系,Kibana和ES共同为…

【机器学习】支持向量机(上)

支持向量机(上) 目录 一、导言二、何为支持向量机三、点到平面的距离计算四、构建目标函数(支持向量机的基本型推导)五、利用 KKT 条件对目标函数进行转换1、拉格朗日乘数法的引入2、KKT 条件的引入3、松弛互补条件的引入4、总结 …

交叉熵损失CrossEntropyLoss

交叉熵损失CrossEntropyLoss 语义分割网络输出tensor的尺寸为【B,C,H,W】,进行多分类,label的尺寸为【B,H,W】。 举例:三分类:output【1, 3,3, 3】,label【1, 3, 3】 验证 import torchoutput torch.tensor([[[[1, 1…

数据挖掘与数据分析之统计知识篇

1、自由度是什么?怎么确定? 统计学上,自由度是指当以样本的统计量估计总体的参数时,样本中独立或能自由变化的数据个数叫自由度。一般来说,自由度等于独立变量减掉其衍生量数。举例来说,变异数的定义是样本…