防火墙

最新推荐文章于 2024-06-06 10:28:10 发布

原创最新推荐文章于 2024-06-06 10:28:10 发布 · 196 阅读

0 ·

CC 4.0 BY-SA版权

防火墙：

从逻辑上分类：

主机防火墙：针对单个主机进行防护

网络防火墙：处于网络入口或者边缘，针对网络入口进行防护，服务于防火墙背后的本地局域网

从物理上分类：

硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高

软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低

netfilter才是防火墙真正的安全框架，处于内核空间

内核空间：也叫作内核态，操作系统占据的内存区域

用户空间：也叫作用户态，用户进程所在的内存区域

 网络安全的知名企业：深信服，思科，天融信

硬件防火墙：思科（AIR-CT5508-300-K9）
华为（USG6670）

四表，五链：

在这里插入图片描述

四表在同一个链中有顺序：
raw > mangle > nat >filter

防火墙配置：

iptables -L 查看所有规则
iptables -F 清空规则
iptables -t filter -D INPUT 1 某一个链的某个规则。

iptables -t tilter -L 查看指定表的规则
[root@localhost ~]# iptables -nvL --line-number
-n：转化成数字
-v：显示详细信息
–line-number 显示链下规则的序号

target：
ACCEPT：容许，接收
DROP：丢弃
REJECT：拒绝

增：

[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j DROP    
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j REJECT
[root@localhost ~]# iptables -t filter -I OUTPUT -d 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -A INPUT -s 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT      #“具体添加到哪一行”

[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -p ICMP -j DROP   #禁ping。
[root@localhost ~]# iptables -t filter -I INPUT  -s 192.168.42.145 -p tcp --dport 80 -j REJECT

[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -p ICMP -j DROP   #禁ping。
[root@localhost ~]# iptables -t filter -I INPUT  -s 192.168.42.145 -p tcp --dport 80 -j REJECT   

[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j DROP    
[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j REJECT
[root@localhost ~]# iptables -t filter -I OUTPUT -d 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -A INPUT -s 192.168.42.102 -j DROP
[root@localhost ~]# iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT      #“具体添加到哪一行”

[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -p ICMP -j DROP   #禁ping。
[root@localhost ~]# iptables -t filter -I INPUT  -s 192.168.42.145 -p tcp --dport 80 -j REJECT   

[root@localhost ~]# iptables -t filter -I INPUT -p ICMP -s 192.168.42.145,192.168.42.102 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT -p ICMP -s 192.168.42.0/24 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT -p ICMP ! -s 192.168.42.145 -j ACCEPT   #在192.168.42.0/24 屏蔽了 192.168.42.145
！排除

[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT 
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --sport 22 -j ACCEPT
[root@localhost ~]# iptables -t filter -A INPUT -j REJECT   #拒绝所有。

-s 原地址
-d 目的地址

-p 协议
–dport 目标端口
–sport 源端口

-I 添加到第一条
-A追加到最后

删：

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t filter -D INPUT 2 
[root@localhost ~]# iptables -t filter -D INPUT -p tcp --sport 22 -j ACCEPT

改：

[root@localhost ~]# iptables -t filter -R INPUT 2 -p tcp --dport 80 -s 192.168.42.102 -j ACCEPT

[root@localhost ~]# iptables -t filter -R INPUT 2 -p tcp --dport 80 -s 192.168.42.102 -j ACCEPT

查：

[root@localhost ~]# iptables -nvL --line-number

-n
-v
-L

保存规则：

[root@localhost ~]# service iptables save  保存到文件，/etc/sysconfig/iptables
[root@localhost ~]# iptables-save      输出规则到屏幕

[root@localhost ~]# md5sum /etc/sysconfig/iptables

ve 保存到文件，/etc/sysconfig/iptables
[root@localhost ~]# iptables-save 输出规则到屏幕

[root@localhost ~]# md5sum /etc/sysconfig/iptables