1 安全技术和防火墙
1.1安全技术
入侵检测系统:特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性地知道措施和安全决策依据。一般采用旁路部署方式。
入侵防御系统:以透明模式工作,分析数据包地内容如:溢出共计、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效地保护网络地安全,一般采用在线部署方式
防火墙:隔离功能,工作在网络或主机边缘,对进出或主机地数据包基于一定地规则检查,并在匹配某规则时由规则定义地行为进行处理地一组功能地组件,基本上地实现都是默认情况下关闭所有地通过型访问,只开放允许访问地策略
防水墙 广泛意义上地防水墙:防水墙,与防火墙相对,是一种繁殖内部信息泄露地安全产品。网络、外设接口、存储介质和打印机信息泄露地全部途径。防水墙针对这四种泄密途径,在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。
1.2防火墙的分类
按保护范围划分:
- 主机防火墙 :服务范围为当前一台主机
- 网络防火墙:服务范围为防火墙一侧的局域网
按实现方式划分:
- 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一部分功能基于软件实现,如:华为、天融信、启明星辰、吕蒙、深信服等
- 软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows防火墙,ISA→Forefront TMG
按网络协议划分:
- 网络防火墙:OSI模型下四层,又称为包过防火墙
- 应用层防火墙/代理服务器:代理网关,OSI模型七层
2 防火墙的基本认识
2.1 Netfiler
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在Linux内核中
Netfilter是Linux 2.4.x之后新一代的Linux防火墙机制,是Linux内核 的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合,并允许对数据进行过滤、地址转换、处理等操作
2.2防火墙工具
- iptables
- firewalld
- nftables
3 iptables
3.1 iptavles 规则说明
规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文提供规则定义的处理动作做出处理,规则在链接上的次序即为其检查时的生效次序
匹配条件:默认为与条件,同时满足 基本匹配:IP,端口,TCP的Flags 扩展匹配:称为target,跳转目标
4 firewalld
firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具 firewalld是配置和监控防火墙规则的系统守护进程。 firewalld服务由firewalld包提供 firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则
归入zone顺序:
- 先根据数据包中源地址,将其纳为某个zone
- 纳为网络接口所属zone
- 纳入默认zone,默认为public zone,管理员可以改为其他zone
- 网卡默认数据public zone ,lo网络接口属于trusted zone
firewalld分类
5 nfr
nftables是一个ntefilter项目,旨在替换现有的{ip,ip6,arp}tables框架,为{ip,ip6}tables提供一个新的包过滤框架、一个新的用户空间实用程序和一个兼容层。它使现用的钩子、链接跟踪系统、用户空间排队组件和netfilter日志子系统。
nftables主要由三个 组件组成:内核实现、libnl netlink通信和nftables用户空间。其中内核提供了一个netlink配置接口以及运行时规则集评估,libnl包含了与内核通信的基本函数,用户空间可以通过nft和用户进行交互。
