linux的安全技术和防火墙

news2024/11/24 3:28:39

一、安全技术

1.入侵检测系统:特点式不阻断网络访问,主要式提供报警和事后监督,不主动介入,默默的看着你(相当于360安全卫士)

2.入侵防御系统:透明模式工作,对数据包,网络监控,服务攻击,木马,蠕虫,系统漏洞等等进行准确的分析和判断,在判定为攻击行为后立即阻断,主动的防御(所有的数据在进入本机之前,必须要通过的设备或者软件)

二、防火墙:作用是隔离,工作在网络或者主机的边缘,对网络或者主机的数据包基于一定的规则进行检查,匹配到的规则,要么放行,要么拒绝(拒绝就就是把数据包丢弃),只开放允许访问的策略(白名单机制,拒绝所有,允许个别)。

三、防水墙:透明模式工作,华为的ensp监控就是防水墙。一切对于防水墙来说都是透明的。可以在事前、事中、事后都可以进行检测。

四、防火墙:

1.iptables:这个是linux自带的防火墙,一般用于内部配置,工作在网络层,针对数据包实施过滤和限制,是包过滤防火墙,对外一般不适用(对外都使用专业的);iptable的过滤规则就是由内核态来进行控制。

2.firewald :这个也是Linux自带的防火墙,centos7以后默认的防火墙,也是包过滤防火墙;作用是网络层对数据包进行选择,选择的依据是防火墙设置的策略,策略包括:IP地址,端口,协议;优点是处理速度块,容易维护;缺点是无法检查应用层数据,病毒无法进行处理。

3.应用层防火墙:在应用层对数据进行检查,比较安全;优点是更加安全,问题定位精准;缺点是所有数据都会检查,会增加防火墙的负载。

五、通信的五大要素:源ip和目的ip

                                   源端口和目的端口

                                   协议(tcp/upd)

      通信的四大要素:源ip和目的ip

                                   源端口和目的端口

六、内核态和用户态:

       内核态:设计到软件的底层代码或者是系统的基层逻辑,以及一些硬件的编码,开发人员更关注内核态;数据如果是内核态处理,速度相对较快。

        用户态:应用层软件层面,认为控制的一系列操作,使用功能,运维人员只考虑用户态;数据通过用户态处理,速度是比较慢的。

七、iptables的配置和策略:四表五链(表里面有链,链里面有规则)

四表:

Raw表:控制数据的状态,跟踪数据包的状态。优先级最高

Mangle表:修改数据包的头部信息。

NAT表:网络地址转换,可以改变数据包的源地址和目的地址

filter表:也是iptables的默认表,不做声明,默认就是filter表,作用是过滤数据包,控制数据包的进出,以及接受和拒绝数据包。优先级最低。

五链:

PREROUTING链:处理数据包进入本机之前的规则(NAT表)

INPUT链:处理数据包进入本机的规则(filter表,是否允许数据包进入,拒绝的话数据包将直接丢弃)

output链:处理本机发出的数据包规则,或者是数据包离开的本机规则(filter表,一般不做设置,进来肯定会让其出去)

forward链:处理数据包转发到其它主机的规则,或者是允许本机进行数据包转发。

postrouting链:处理数据包离开本机之后的规则(NAT表)

优先级:

 第一种跨网段数据包转发的情况

 第二种情况:请求和响应的过程

八、iptables:

1.管理选项:在表的链中插入,增加,删除,查看规则。

-t :  指定表名+管理选项

-A :在链中添加一条规则,在链尾添加

-I:指定位置插入一条规则

-P:指定默认规则,链的规则一般都是设置成拒绝

-D:删除规则

-R:修改规则(慎用)

-vnL:v显示详细信息,n以数字形式展示内容,L查看

--line-numbers:显示规则的编号,一般和查看一起使用

-F:清空链中的所有规则(慎用)

-X:清除自定义链中的规则

2.匹配条件:数据包的ip地址,端口,协议。 

   匹配原则:每个链中规则都是从上到下的顺序匹配,匹配到之后不再向下匹配

   如果链中没有规则,则执行链的默认策略进行处理

-p:指定协议类型

-s:指定匹配的源ip地址

-d:指定匹配的目的ip地址

-i:指定数据包进入本机的网络设备(比如ens33)

-o:指定数据包离开本机的网络设备

--sport:指定原端口

--dport:指定目的端口

3.控制类型:允许,拒绝,丢弃。

-j :后面跟上下面的控制类型

ACCEPT:允许数据包通过。

DROP:直接丢弃数据包,没有任何回应信息。

REJECT:拒绝数据包通过,数据包也会被丢弃,但是会有一个响应的信息。

SNAT:修改数据包的源地址。

DNAT:修改数据包的目的址。

4.注意事项:不指定表名,默认就是filter表

                                         不指定链名,默认就是所有链(禁止行为)

                                         除非设置了链的默认策略,否则必须执行匹配条件(一般都是指定匹配条件)

                                         选项、链名和控制类型都是大写,其余的都是小写。

九、iptables的命令格式:

iptables [ -t  表名]  管理选项  链名 (大写)匹配条件 [ -j  控制类型]

十、隐藏 扩展模块

-m:扩展模块,明确指定类型,多端口,Mac地址,IP范围。

如何指定多端口:

-m multiport --sport /--dport

iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j REJECT

指定IP地址的范围:

-m iprange --src-range  源IP范围

-m iprange --dst-range 目的IP范围

在20-50范围内的主机不允许ping主机

iptables -A INPUT -p icmp -m iprange --src-range 20.0.0.20-20.0.0.50 -j REJECT

十一、实验:

1.首先要关闭firewalld的防火墙:systemctl  stop  firewalld

  关闭安全机制:setenforce   0

  安装iptables防火墙:yum   -y   install    iptables   iptables-services

  重启iptables防火墙:systemctl  restart   iptables

  安装service:systemctl     enable     iptables.service

2.查看规则:iptables  -L

iptables  -vnL:以数字化的形式查看原则

查看iptables的行号 iptables -vnL  --line-numbers

清空规则(不指定的话系统默认只清空的是filter表):iptables  -F

添加一条拒绝所有主机来ping本机的规则

 插入一条允许所有主机都可以ping通本机的规则(当你直接添加一条允许规则是不会生效的,只能是插入,而且是要插入到第一条)

 指定IP地址(拒绝IP20ping主机,允许IP30ping主机)

 

指定多个IP地址(一次拒绝多个IP地址ping主机):多个IP要用逗号隔开,控制类型既可以是REJECT也可以是DROP。

DROP:直接丢弃数据包,没有任何回应信息。

REJECT:拒绝数据包通过,数据包也会被丢弃,但是会有一个响应的信息。

 拒绝指定端口

--sport:指定原端口

--dport:指定目的端口

 即拒绝IP也拒绝端口

 拒绝主机访问本机的nginx

 3.删除规则:根据序号删除即可

4. 修改策略(一般不用)

5.修改链名的默认策略(工作中不用):将默认的INPUT链的ACCEPT修改为DROP

 6.如何指定网络设备

禁止IP192.168.127.20主机通过ens33的网卡来访问本机的80端口服务

 

 7.备份和还原:iptables 的配置文件保存在 /etc/sysconfig/iptables,每次重启服务都会重新读取配置文件里的规则,也可以通过iptables-save把当前防火墙配置保存在文件中,每次需要读取这个配置时通过iptables-restore命令获取配置,这个获取配置也是临时生效。可以配合脚本在系统启动时自动加载配置。

8.自定义链:iptables -N  自定义链名:添加自定义链

                     iptables  -E   原自定义链名  现在的自定义链:更改源自定义链名

                     iptables  -X   自定义链 :删除自定义链名

十二、地址转换

sant和dnat

snat:源地址转换(内网的多个主机可以只有一个有效的公网ip地址访问外部网络)

dnat:目的地址转换(外部用户,可以通过一个公网地址访问服务内部的私网服务,私网的ip和公网ip做了一个映射)

实验:

1.分别关闭三台主机firewalld防火墙及安全机制,并向10及30主机进行安装nginx

2.给20主机添加一个网卡

3.修改20主机的网卡的IP地址:vim  ifcfg-ens33

4.配置30主机

5.配置10主机

6.配置20主机的linux内核参数配置文件,内核优化都在这个配置文件中设置:vim   /etc/sysctl.conf

 十三、在Linux当中如何抓包

tcpdump就是linux自带的抓包工具(最小化安装是不带的,需要额外安装)

tcpdump命令:

 十四、centos7防火墙:firewalld
firewalld:centos7自带的。和iptables一样,也是包过滤防火墙

firewalld过滤,通过区域来进行配置

iptables是一个静态防火墙,只有满足条件他才会触发

firewalld是动态防火墙

iptables靠规则

firewalld靠区域

firewalld的区域:

1.trusted:信任区,所有流量都可以传入
2.public:公共区域,允许ssh或者dhcpv6-client的流量可以传入,其他的全部拒绝,也是firewalld的默认区域。
3.dhcpv6-client:获取ipv6地址的客户端工具

4.external:外部区域,允许ssh或者dhcpv6-client的流量可以传入,其他的全部拒绝,默认通过此区域转发的ipv4流量地址,可以进行伪装。
5.home:家庭区域,允许ssh或者dhcpv6-client的流量可以传入,其他的全部拒绝
6.internal:内部区域,默认值与home区域的作用相同
7.work:工作区域。允许ssh或者dhcpv6-client的流量可以传入,其他的全部拒绝
8.DMZ:隔离区/非军事区,允许ssh和其他的预定义好的配置,其他的全部拒绝
9.block:限制区,所有流量都会被拒绝
10.drop:丢弃区,所有流量都会丢弃,没有任何响应

firewalld命令

 


 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1869201.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Micrometer+ZipKin分布式链路追踪

目录 背景MicrometerMicrometer与ZipKin之间的关系专业术语分布式链路追踪原理 ZipKin安装下载 MicrometerZipKin 案例演示相关文献 背景 一个系统页面上的按钮点击到结果反馈,在微服务框架里,是由N个服务组成返回结果,中间可能经过a->b-…

【数据结构与算法】哈希表 详解

开放定址哈希表的存储结构是什么样的? 开放定址哈希表的存储结构: #define SUCCESS 1 #define UNSUCCESS 0 #define DUPLICATE -1int hashsize[] {997, /*...*/}; // 哈希表容量递增表,一个合适的素数序列typedef struct {ElemType *elem;…

Anisble Playbook

文章目录 一、Playbook简介三种常见的数据格式Playbook特点YAML语言介绍 二、Playbook核心组件host组件remote_user组件task列表和action组件gather_factsHandlers notifyignore_errors 三、playbook命令playbook命令tags 标签 四、Playbook中的变量setup模块中的变量Playbook命…

【Unity】Excel配置工具

1、功能介绍 通过Excel表配置表数据,一键生成对应Excel配置表的数据结构类、数据容器类、已经二进制数据文件,加载二进制数据文件获取所有表数据 需要使用Excel读取的dll包 2、关键代码 2.1 ExcelTool类 实现一键生成Excel配置表的数据结构类、数据…

linux系统中vim ls grep等命令无法使用

linux突然vim ls grep等命令无法使用 系统配置路径被修改导致无法使用 添加路径 执行以下命令 export PATH$PATH:/root/bin export PATH$PATH:/usr/sbin

如何在信创领域中做好防泄露

随着信息技术的迅猛发展,数据安全和防泄露成为了企业和政府机构面临的重大挑战。在信创(Creative and Innovative Intelligent Products)领域中,沙箱技术以其独特的隔离和保护机制,成为了防泄露的关键手段之一。 一、沙…

一文带你了解什么是【点击劫持】

点击劫持,意思就是你点击网页的时候,有人劫持你,对没错,劫持你的信息,甚至劫持你的马内,劫持你的理想,劫持你的肉体,劫持你的灵魂。就是这么可怕。 目录 1 如何实现假网站 1.1 if…

祝贺!FISCO BCOS伙伴科大讯飞获国家科学技术进步奖一等奖

6月24日,2023年度国家科学技术奖励大会在京召开,金链盟理事单位、开源工作组成员单位、FISCO BCOS产业应用合作伙伴科大讯飞作为第一完成单位的“多语种智能语音关键技术及产业化”项目获得国家科学技术进步奖一等奖。 这是深度学习引发全球人工智能浪潮…

[计算机网络] 虚拟局域网

虚拟局域网 VLAN(Virtual Local Area Network,虚拟局域网)是将一个物理的局域网在逻辑上划分成多个广播域的技术。 通过在交换机上配置VLAN,可以实现在同一个VLAN 内的用户可以进行二层互访,而不同VLAN 间的用户被二…

如何利用静力水准仪进行地形沉降测量

地形沉降测量在建筑工程和地质研究中起着至关重要的作用。准确的地形沉降测量可以帮助工程师预测和预防潜在的地基问题,从而保障建筑物的安全和稳定。本文将详细介绍如何利用静力水准仪进行地形沉降测量,并探讨其在实际应用中的优势。 静力水准仪的基本原…

线程池FutureTask浅谈

一,概述 FuturnTask实现了Future与Runnable接口,笔者知道,ThreadPoolExecutor#submit可以传入Callable接口而非Runnable,区别点在于Callable可以返回值,而整个FuturnTask可以理解为Callable设计,用来优雅地异步获取执行结果,无需手动Condition去实现。 围绕此,需知道…

碧海威L7云路由无线运营版 confirm.php/jumper.php 命令注入漏洞复现(XVE-2024-15716)

0x01 产品简介 碧海威L7网络设备是 北京智慧云巅科技有限公司下的产品,基于国产化ARM硬件平台,采用软硬一体协同设计方案,释放出产品最大效能,具有高性能,高扩展,产品性能强劲,具备万兆吞吐能力,支持上万用户同时在线等高性能。其采用简单清晰的可视化WEB管理界面,支持…

Aigtek:为何要使用电压放大器

电压放大器在现代电子技术中起到了至关重要的作用。它是一种电子设备,用于将输入信号的电压增大到所需的输出电压水平。电压放大器的使用有以下几个方面的原因和优势。 电压放大器可以提高信号的强度和质量。许多实际应用中的输入信号往往很微弱,比如来自…

基于springboot、vue影院管理系统

设计技术: 开发语言:Java数据库:MySQL技术:SpringbootMybatisvue 工具:IDEA、Maven、Navicat 主要功能: 影城管理系统的主要使用者分为管理员和用户, 实现功能包括管理员: 首页…

搭建抖音微短剧系统:源码部署与巨量广告回传全解析

在数字化浪潮中,抖音微短剧已成为内容创作的新宠。想要搭建一个高效的抖音微短剧系统,并实现与巨量广告的有效回传吗?本文将为您详细解析源码部署与广告回传的关键步骤。 一、源码部署:构建短剧系统的基石 源码是软件开发的起点…

[leetcode]beautiful-arrangement. 优美的排列

. - 力扣&#xff08;LeetCode&#xff09; class Solution { public:vector<vector<int>> match;vector<int> vis;int num;void backtrack(int index, int n) {if (index n 1) {num;return;}for (auto &x : match[index]) {if (!vis[x]) {vis[x] tru…

Java - Execl自定义导入、导出

1.需求&#xff1a;问卷星答 下图框出区域&#xff0c;为用户自定义字段问题及答案 2.采用技术EasyExcel 模板所在位置如下 /*** 导出模板** param response*/ Override public void exportTemplate(HttpServletResponse response) throws IOException {ClassPathResource c…

python-18-零基础自学python 类和子类的基础练习

学习内容&#xff1a;《python编程&#xff1a;从入门到实践》第二版 知识点&#xff1a; 类&#xff0c;父类与子类的继承&#xff0c;调用函数方法等。 练习内容&#xff1a; 练习9-7&#xff1a;管理员 管理员是一种特殊的用户。编写一个名为Admin的类&#xff0c;让它继…

linux绝对路径与相对路径区别简述

绝对路径与相对路径定义 绝对路径&#xff1a;相对于根路径&#xff0c;只要文件不移动位置&#xff0c;那么它的绝对路径是永恒不变的 相对路径&#xff1a;相对于当前所在目录而言&#xff0c;当前所在的目录可能会改变&#xff0c;所以相对路径不是固定的 路径&#xff…

算法基础入门 - 1.排序

文章目录 算法基础入门第一章:排序1.1 桶排序1.2 冒泡排序1.3 快速排序1.4 买书问题算法基础入门 第一章:排序 1.1 桶排序 该算法好比桶,假设有11个桶,编号从0-11。每出现一个数,就往对应编号的桶中放入旗子,只需要数桶中旗子的个数即可。比如2号桶有1个旗子,表示2出…