---

安全技术

• 入侵检测系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署（默默的看着你）方式。
• 入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以 阻断，主动而有效的保护网络的安全，一般采用在线部署方式。（必经之路）
• 防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默 认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.
  防水墙
  广泛意义上的防水墙：防水墙（Waterwall），与防火墙相对，是一种防止内部信息泄漏的安全产品。 网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事 中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

防火墙的分类

按保护范围划分：

• 主机防火墙：服务范围为当前一台主机
• 网络防火墙：服务范围为防火墙一侧的局域网

按实现方式划分:

• 硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：华为， 山石hillstone,天融信，启明星辰，绿盟，深信服, PaloAlto , fortinet, Cisco, Checkpoint， NetScreen(Juniper2004年40亿美元收购)等
• 软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，Windows 防火墙 ISA --> Forefront

按网络协议划分：

• 网络层防火墙：OSI模型下四层，又称为包过滤防火墙
• 应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层

包过滤防火墙

工作层次

• 主要是网络层，针对IP数据包
• 体现在对包内的IP地址、端口等信息的处理上

网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL），通过检查数据流中每个数据的源地址，目的地址，所用端口号和协议状态等因素，或他们的组合来确定是否 允许该数据包通过

• 优点：对用户来说透明，处理速度快且易于维护缺点：无法检查应用层数据，如病毒等

• 缺点：无法检查应用层数据，如病毒等

应用层防火墙

应用层防火墙/代理服务型防火墙，也称为代理服务器（Proxy Server)

将所有跨越防火墙的网络通信链路分为两段

内外网用户的访问都是通过代理服务器上的“链接”来实现优点：在应用层对数据进行检查，比较安全

• 缺点：增加防火墙的负载

• 提示：现实生产环境中所使用的防火墙一般都是二者结合体，即先检查网络数据，通过之后再送到应用 层去检查

Linux 防火墙的基本认识

Netfilter

• 位于Linux内核中的包过滤功能体系
• 称为Linux防火墙的“内核态”

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中
Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制，是linux内核的一个子系统。Netfilter采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等操作

iptables

iptables的组成概述

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux 系统的防火墙体系基于内核编码实现， 具有非常稳定的性能和高效率，也因此获得广泛的应用。

netfilter/iptables：IP 信息包过滤系统，它实际上由两个组件 netfilter 和 iptables组成。
主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

netfilter/iptables关系：

netfilter：

属于“内核态”又称内核空间（kernel space）的防火墙功能体系。linux 好多东西都是内核态 用户态，那我们运维人员关注的是用户态， 内核我们关注不是很多，内核基本是我们开发人员关心的事情是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables :

属于“用户态”(User Space， 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

• 位于/sbin/iptables，用来管理防火墙规则的工具
• 称为Linux防火墙的“用户态”

由软件包iptables提供的命令行工具，工作在用户空间，用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包

iptabales的表、链结构示意图

iptables由五个表table和五个链chain以及一些规则组成

五个表table：filter、nat、mangle、raw、security

• filter：过滤规则表，根据预定义的规则过滤符合条件的数据包,默认表
• nat：network address translation 地址转换规则表
• mangle：修改数据标记位规则表
• raw：关闭启用的连接跟踪机制，加快封包穿越防火墙速度
• security：用于强制访问控制（MAC）网络规则，由Linux安全模块（如SELinux)实现

优先级由高到低的顺序为：

security-->raw-->mangle-->nat-->filter
1

iptables的表、链结构

规则表

• 表的作用：容纳各种规则链
• 表的划分依据：防火墙规则的作用相似

默认包括4个规则表

• raw表：确定是否对该数据包进行状态跟踪
• mangle表：为数据包设置标记
• nat表：修改数据包中的源、目标IP地址或端口
• filter表：确定是否放行该数据包（过滤）

规则链

• 规则的作用：对数据包进行过滤或处理
• 链的作用：容纳各种防火墙规则
• 链的分类依据：处理数据包的不同时机

默认的5种规则链

• INPUT：处理入站数据包
• OUTPUT：处理出站数据包
• FORWARD：处理转发数据包
• POSTROUTING链：在进行路由选择后处理数据包
• PREROUTING链：在进行路由选择前处理数据包

规则表之间的顺序

raw->mangle->nat->filter

规则链之间的顺序

入站：PREROUTING->INPUT
出站：OUTPUT->POSTROUTING
转发：PREROUTING->FORWARD->POSTROUTING

规则链内的匹配顺序

按顺序依次检查，匹配即停止（LOG策略例外）
若找不到想匹配的规则，则按该链的默认策略处理

netfilter中五个勾子函数和报文流向

Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)，而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则。由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放在链（chain）上

提示：从 Linux kernel 4.2 版以后，Netfilter 在prerouting 前加了一个 ingress 勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量，这个新挂钩比预路由要早，基本上是 tc 命令（流量控制工具）的替代品。
iptabales 调用 netfiter 功能 5个 函数

firewalld服务

firewalld 介绍

firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具,也被ubuntu18.04版以上所支持(apt install firewalld安装即可)

firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供

归入zone顺序：

• 先根据数据包中源地址，将其纳为某个zone
• 纳为网络接口所属zone
• 纳入默认zone，默认为public zone,管理员可以改为其它zone
• 网卡默认属于public zone,lo网络接口属于trusted zone

firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则

1. 已经存在了zone区域
2. 使用firewall，就是将特定的流量关联到某个zone中

• 通过源网段关联zone
• 通过网卡关联zone区域
• 如果两者都没有关联的数据报文，那就会去default zone

3. 进入到zone以后，开始匹配zone内的规则

firewalld zone 分类

预定义服务

编写防火墙规则

iptables安装

CentOS7默认使用firewalld防火墙，没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables。

关闭firewalld防火墙

systemctl stop firewalld.servers
systemctl disable firewalld.servers
1
2

安装iptables防火墙

yum -y install iptables
1

设置iptables开机启动

systemctl start iptables.service
systemctl enable iptables.service
1
2

配置方式

iptables防火墙的配置方法:
1、使用iptables命令行。
2、使用system-config-firewall centso7不能使用 centos 6可以使用
1
2
3

基本语法：

iptables  [-t 表名]  管理选项  [链名]  [匹配条件]  [-j 控制类型]
如果不指定  默认是filter
其中，表名、链名用来指定 iptables 命令所操作的表和链，未指定表名时将默认使用 filter 表；

管理选项:表示iptables规则的操作方式，如插入、增加、删除、查看等；
匹配条件:用来指定要处理的数据包的特征，不符合指定条件的数据包将不会处理；
控制类型指的是数据包的处理方式，如允许、拒绝、丢弃等。 

注意事项：
不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写
1
2
3
4
5
6
7
8
9
10
11
12
13

数据包的常见控制类型

对于防火墙，数据包的控制类型非常关键，直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中，最常用的几种控制类型如下

- ACCEPT：允许数据包通过。 
- DROP：直接丢弃数据包，不给出任何回 应信息。 
- REJECT：拒绝数据包通过，必要时会给数据发送端一个响应信息。 
- LOG：在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则。 
- SNAT:修改数据包的源地址。
- DNAT:修改数据包的目的地址。
- MASQUERADE:伪装成一个非固定公网IP地址。
1
2
3
4
5
6
7

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例，因为 LOG 只是一种辅助动作，并没有真正处理数据包。

添加、查看、删除规则等基本操作

加新的防火墙规则

添加新的防火墙规则时，使用管理选项“-A”、“-I”，前者用来追加规则，后者用来插入规则。

#不允许任何主机ping本主机
iptables -t filter -A INPUT -p icmp -j REJECT    

#-I表示插入到第一条，先执行，执行完之后就与主机失去联系，必须进入虚拟机打开终端输入命令删除
iptables -t filter -I INPUT -p icmp -j REJECT
#把这条命令-I改成-D（取消）就可以返回连接

 #允许主机ssh端口进过我的
iptables -I  INPUT 2 -p tcp --dport 22 -j ACCEPT       

#允许任何主机tcp
iptables -t filter -A INPUT -p tcp -j ACCEPT    
#允许任何主机udp
iptables -I INPUT -p udp -j ACCEPT       
1
2
3
4
5
6
7
8
9
10
11
12
13
14

不允许任何主机ping本机

查看规则列表

查看已有的防火墙规则时，使用管理选项“-L”，结合–line-numbers选项还可显示各条规则在链内的顺序号

##写法一
iptables [-t表名] -n -L [链名] |[-- line-numbers]
-n ：以数字地址形式显示
-v ：查看时显示更详细信息
-L ：查看
##写法二
iptables - [vn]L	##注意：vn和L的顺序不能颠倒（L要放在最后面）
1
2
3
4
5
6
7

注：当防火墙规则的数量较多时，若能够以数字形式显示地址和端口信息，可以减少地址解析的环节，在一定程度上加快命令执行的速度

删除（清空）规则

-D ：表示删除规则
	iptables -D INPUT 4		#删除第4条规则
-F ：表示清空规则
	iptables -F INPUT		#清空所有写入的规则
##也可以通过-F的操作来清空filter、nat、mangle表
	iptables -F   	   		 #清空filter表（默认）
	iptables -t NAT -F    	#清空nat表
	iptables -t MANGLE -F    #清空mangle表
1
2
3
4
5
6
7
8

清除所有规则后可以通过重启来恢复
删除第五条，其他主机又可以ping本机了


注：

• 若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条
• 按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
• 按内容匹配删数时，确保规则存在，否则报错

设置默认策略

iptables 的各条链中，默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时，则执行默认策略。默认策略的控制类型为 ACCEPT（允许）、DROP（丢弃）两种

OUTPUT 链的默认策略设为允许。
iptables [-t表名] -P <链名> <控制类型>
iptables -P INPUT DROP 输入后没显示 清除所有规则之后生效，因为下面只剩下DROP 添加远程端口22