边界安全——防火墙简介
防火墙概述
防火墙是一种高级访问控制设备,置于不同的网络安全域之间一系列组件的组合,它是不同网络安全域间通信的唯一通道,能根据相关的安全策略控制控制进出网络的访问行为。
防火墙的作用
- 保护内部的网络免受外部Internet恶意的攻击
- 创建安全域
- 加强机构的安全管理策略
防火墙的历程
防火墙 | 工作范围 | 判断信息 |
---|---|---|
包过滤 | 网络层、传输层(3-4层) | 五元组 |
应用代理 | 7层应用层 | 所有应用层的信息包 |
状态检测 | 数据链路层、网络层、传输层(2-4层) | IP地址、端口号、TCp标记 |
入侵检测系统(IDS) | 2-7层 | 抵御2-7层已知威胁 |
入侵防御系统(IPS) | 2-7层 | 能够主动检测和防御 |
web应用防火墙(WAF) | 应用层(7层) | 用来保护web应用 |
防病毒网关(AV) | 2-7层 | 基于网络侧识别病毒文件 |
下一代防火墙(NGFW) | (2-7层) | IDS,FW,IPS,AV,WAF |
防火墙的功能
- 访问控制
- 地址转换
- 网络环境支持
- 宽带管理功能
- 入侵检测和防御攻击
- 用户认证
- 高可用性
防火墙性能指标
吞吐量 时延 丢包率 背靠背 并发连接数:基于传输层
数据包过滤防火墙
包过滤是一种保安机制,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝
数据包过滤的安全策略方式
- 源地址
- 目的地址
- 源目端口号
- 标志位
- 数据包传送使用的数据包
数据包过滤的优点
包过滤方式有许多优点,而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站
点与因特网间只有一台路由器,那么不管站点规模有多大,只要在这台路由器上设置合适的包过滤,我们的站点就可获得很好的
网络安全保护
包过滤的缺点:
- 手动配置规则比较麻烦
- 对于系统中的包过滤规则进行测试比较麻烦
- 包过滤产品存在局限性,缺少完备的包过滤产品
包过滤规则的配置
协议的双向性:
协议总是双向的,协议总会有一个发送方和一个接收方,在指定规则时,要注意包的来源和去向
默认允许和默认拒绝:
安全策略有两种方法,默认拒绝和默认允许,从安全角度来看,用默认的拒绝应该更加合适。
包过滤器的规则
- 包过滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规则
- 当包到达端口时,对包的报头进行语法分析,大多数包过滤设备只检查IP、TCP或UDP报头中的字段,不检查包体的内容
- 包过滤器规则以特殊的方式存储
- 如果一条规则阻止包传输或接收,此包便不被允许通过
- 如果一条规则允许包传输或接收,该包可以继续处理
- 如果一个包不满足任何一条规则 该包被阻塞
包过滤软件IPTABLES规则的配置
filter表中进行规则的设置:
iptables -t filter -A INPUT -s 10.1.1.3 -j ACCEPT允许源地址为10.1.1.3进入
iptables -t filter -A INPUT ! -s 10.1.1.3 -j ACCEPT不允许源地址为10.1.1.3进入
iptables -t filter -A INPUT -s 10.1.1.3 -j DROP拒绝源地址为10.1.1.3进入
iptables -t filter -A OUTPUT -d 10.1.1.3-j DROP丢弃到达目标地址为10.1.1.3的包iptables -t filter -A OUTPUT ! -d 10.1.1.3 -j ACCEPT丢弃到达目标地址为10.1.1.3的包
iptables -t filter -A INPUT -d 10.1.1.2 -j DROP丢弃所有到目标地址10.1.1.2的包iptables -t filter -A OUTPUT -s 10.1.1.2 -j ACCEPT 源地址为10.1.1.2出去的包全部允许iptables
iptables -nL
-n 表示不对 IP 地址进行反查,加上这个参数显示速度将会加快。
-v 表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。
显示详细的信息:
[root@localhost ~]# iptables -L --line-numberiptables内置模块
多端口指定:
multiport
[root@localhost ~]# iptables -t filter -I INPUT -m multiport -p tcp --dports 20:22,80 -j ACCEPT指定IP地址范围:
iprange
[root@localhost ~]# iptables -t filter -I INPUT -m iprange --src-range 10.1.1.2-10.1.1.10 -p tcp --dport 80 -j ACCEPT被动模式:ftp
[root@localhost ~]# iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
开启端口的访问
[root@localhost ~]# iptables -t filter -A OUTPUT -p tcp --sport 20:21 -j ACCEPT限制ftp的数据传输的端口
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
pasv_min_port=2000
pasv_max_port=3000[root@localhost ~]# iptables -t filter -A INPUT -p tcp --dport2000:3000 -j ACCEPT
[root@localhost ~]# iptables -t filter -A OUTPUT -p tcp --sport 2000:3000 -j ACCEPT状态连接:
state
[root@localhost ~]# iptables -t filter -A OUTPUT -m state --state ESTABLISHED -j ACCEPT指定mac地址的范围:
-m mac --mac-source 设置tcp数据包的标志位的规则:
[root@localhost ~]# iptables -A INPUT -p tcp --dport 23 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 23 --tcp-flags ALL SYN -j REJECT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 23 --syn -j REJECT
-p tcp --tcp-flags LIST1 LIST2
匹配指定的TCP标记,有两个参数列表,列表内部用逗号为分隔符,两个列表之间用空格分开,
LIST1用作参数检查,LIST2用作参数匹配。可用标志有:
SYN( 同步; 表示开始会话请求 ), ACK(应答),
FIN(结束; 结束会话),RST(复位;中断一个连接) ,
PSH(推送; 数据包立即发送),URG(紧急 ),
ALL(指选定所有的标记),NONE(指未选定任何标记)更改默认规则:
iptables -P OUTPUT ACCEPT
有关IPTABLES详细的介绍后面出文介绍
选择防火墙的原则
- 防火墙自身的安全性
只有当防火墙自身设备的安全性完备时,才能为系统提供更安全的访问控制功能 - 考虑特殊的需求
包过滤防火墙的主要功能是进行包的过滤,但也具有其他的功能,例如:IP地址转换,双重DNS,VPN虚拟企业网络,病毒扫描,特殊的控制需求 - 选择原则
- 防火墙需要保护整个网络的安全
- 防火墙必须能弥补其他操作系统的不足
- 防火墙具有不同平台的选择
- 防火墙具有完善的售后服务
边界安全——防火墙简介相关推荐
- 【计算机网络】网络安全 : 防火墙 ( 简介 | 防火墙功能 | 防火墙分类 | 分组过滤路由器 | 应用网关 )
文章目录 一.防火墙简介 二.防火墙功能 三.防火墙分类 四.分组过滤路由器 五.应用网关 一.防火墙简介 防火墙简介 : ① 组成 : 防火墙是由 软件 , 硬件 构成的系统 ; ② 作用 : 用于 ...
- 防火墙简介(二)——firewalld防火墙
防火墙简介(二)--firewalld防火墙 一.firewalld防火墙简介 二.firewalld 与 iptables 的区别 三.firewalld 区域的概念 1.firewalld防火墙9 ...
- 防火墙简介(一)——iptables防火墙
防火墙简介(一)--iptables防火墙 一.iptables防火墙 1.iptables概述 2.netfilter 和 iptables ①.netfilter ②.iptables ③.net ...
- 华为防火墙简介及其工作原理
防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用.华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产 ...
- 防火墙简介及其工作原理
简介: 防火墙是由软件和硬件组成的系统,它处在安全的网络和不安全的网络之间(比如内网和外网之间),根据由系统管理员设置的规则,对数据流进行过滤.(你的个人电脑上的防火墙就是这样工作的,根据特定的规则过 ...
- 防火墙详解(一) 网络防火墙简介
文章目录 定义 与路由器和交换机的区别 发展历史 防火墙安全区域 定义 防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为 "防火墙"一词起源于建筑领域, ...
- 应用层网关防火墙简介
1.需求简述 默认拒绝策略,防止意外的网络攻击 只允许内网用户在上班时间访问Internet上知名的www/ftp/mail/流媒体/dns/telnet/ssh服务 拒绝显示www.sina.com ...
- linux防火墙简介
防火墙 隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许 ...
- firewalld防火墙简介
1.防火墙 防火墙,其实就是一个隔离工具:工作于主机或者网络的边缘 对于进出本主机或者网络的报文根据事先定义好的网络规则做匹配检测, 对于能够被规则所匹配的报文做出相应处理的组件(这个组件可以是硬件, ...
最新文章
- 数字变化滚动到指定数字的文字特效
- 2022版中国液压、气压动力机械及元件制造行业建设现状与投资动向研究报告
- JDK源码解析之 Java.lang.Boolean
- 弹框alertView
- 计算机网络—物理层的传输介质以及物理层设备
- java 对象深度复制_Java深度复制– Java复制对象
- jsoup抓取网页+具体解说
- or-tools求解指派问题
- 如何评价的测试用例好坏以及如何写好一份测试用例
- 随机抽样方法——DataFrame.sample()
- 进阶篇:3.1)注塑件设计
- SSL双向认证和SSL单向认证的流程和区别
- Java公式编辑器开发思路,附项目源码
- FTDI通用转USB芯片简述
- 【软件质量】软件复杂性
- 站群教程SEO推广(SEO教程)
- IEEE Std 802.3™-2018中文版
- 01-ESP8266的STA模式学习
- 2021款 联想拯救者R7000P
- 利用create_ap软件创建无线AP