苏州旅游网站设计,来年做哪些网站能致富,wordpress淘客宝主题,app001推广平台如果你想拥有你从未拥有过的东西#xff0c;那么你必须去做你从未做过的事情 防火墙在运维工作中有着不可或缺的重要性。首先#xff0c;它是保障网络安全的关键防线#xff0c;通过设置访问控制规则#xff0c;可精准过滤非法网络流量#xff0c;有效阻挡外部黑客攻击、恶… 如果你想拥有你从未拥有过的东西那么你必须去做你从未做过的事情 防火墙在运维工作中有着不可或缺的重要性。首先它是保障网络安全的关键防线通过设置访问控制规则可精准过滤非法网络流量有效阻挡外部黑客攻击、恶意扫描以及病毒入侵等让运维人员无需时刻忧心外部威胁对业务造成破坏确保网络及系统稳定运行。其次在合规管理方面能发挥重要作用依据各行业的网络安全相关要求协助运维人员制定相应访问策略使网络配置符合法规政策避免因不合规而面临处罚助力企业顺利通过安全审计。再者能帮助实现网络分区管理划分出不同安全区域便于对企业内部不同部门、业务模块进行精细化的网络访问控制防止内部风险扩散优化整体运维架构。最后当网络出现异常时防火墙记录的详细日志可提供关键线索方便运维人员快速定位故障源头高效解决问题恢复业务正常运转所以我们今天介绍一下iptables~~~~ 目录
一、防火墙介绍
二、IPtables四表五链
1、四表
2、五链
三、iptables命令
四、iptables防火墙案例
案例1、禁止访问10.0.0.61的22端口
案例2删除规则
案例3 限制来源IP地址
案例4限制网段
案例5限制80端口
案例6:限制10.0.0.7不能访问61的80端口
案例7对源IP进行取反
案例8修改默认的规则
案例9多端口配置
案例10禁ping
案例11iptables的保持与恢复
案例12 使用IPtables实现共享上网
服务端设置
客户端设置
案例13.IP地址映射 欢迎交流在学习过程中如果你有任何疑问或想法欢迎在评论区留言我们可以共同探讨学习的内容。你的支持是我持续创作的动力 点赞、收藏与推荐如果你觉得这篇文章对你有所帮助请不要忘记点赞、收藏并分享给更多的小伙伴你们的鼓励是我不断进步的源泉 推广给更多人如果你认为这篇文章对你有帮助欢迎分享给更多对Linux感兴趣的朋友让我们一起进步共同提升 一、防火墙介绍
Linux的防火墙体系主要工作在网络层针对TCP/IP数据包进行过滤和限制属于典型的包过滤防火墙。它基于内核编码实现具有非常稳定的性能和高效率也因此得到了广泛的应用。防火墙是一种位于内部网络与外部网络之间的网络安全系统旨在保护内部网络免受未经授权的访问以及潜在的网络威胁以下是关于防火墙的介绍
### 基本功能
1. 访问控制依据预设的规则对进出网络的流量进行筛选决定哪些数据包可以通过哪些需要被拦截。例如只允许特定 IP 地址段的设备访问内部某服务器的特定端口而拒绝其他来源的访问请求以此严格把控网络访问权限。
2.防止非法入侵能够识别并阻止外部网络中的恶意攻击行为像常见的黑客扫描、端口入侵尝试等。通过检测异常的网络连接模式、可疑的数据包特征等将潜在的入侵行为阻挡在网络外部保障内部网络环境的安全稳定。
3.网络隔离可以把不同安全级别的网络区域分隔开来比如将企业内部的办公区网络、研发区网络、服务器区网络等根据各自的安全需求进行划分限制不同区域间的非必要网络通信防止安全风险在内部网络间扩散。
### 主要类型
1. 包过滤防火墙工作在网络层基于数据包的源 IP 地址、目的 IP 地址、端口号、协议类型等信息进行过滤。它会检查每个经过的数据包对照预先配置好的规则表来决定是放行还是丢弃该数据包iptables 就是典型的基于这种机制的工具这种防火墙处理速度相对较快但对应用层的内容理解有限。
2. 状态检测防火墙不仅会检查数据包的基本信息还会跟踪网络连接的状态。比如对于一个已经建立的 TCP 连接后续属于该连接的数据包会依据其状态被快速放行它能更智能地识别正常的网络通信流程以及异常的连接尝试相比单纯的包过滤防火墙安全性更高应用场景也更为广泛。
3. 应用层防火墙也被称作代理防火墙运行在应用层能够深入理解应用层协议的内容。例如对于 HTTP 请求它可以检查请求的具体内容、URL 等是否符合安全规定对外隐藏内部网络的真实情况用户的网络请求先经过它进行代理转发起到了很好的安全防护和隐私保护作用但由于要解析应用层内容其处理性能往往相对较低。
### 部署位置与应用场景
1. 边界部署常被部署在企业网络、园区网络等与外部互联网的连接处作为第一道防线阻挡来自外部网络的各种安全威胁保护内部众多的网络资源如服务器、办公终端等。
2. 内部网络隔离在大型网络内部不同部门、不同安全等级区域之间也会部署防火墙实现内部网络的安全分区管理避免内部的误操作、恶意行为等对关键区域造成影响像防止普通办公区的网络问题波及到存放核心数据的服务器区。
### 发展趋势
1. 智能化随着人工智能和机器学习技术的发展防火墙能够通过分析大量的网络流量数据自动学习和识别新出现的网络威胁模式不断优化自身的防护规则提升应对未知威胁的能力。
2. 云化在云计算环境蓬勃发展的当下云防火墙应运而生它可以更好地适配云环境下的动态网络架构、多租户等特点为云资源的安全防护提供有力保障方便企业在云端进行灵活的网络安全配置。
总之防火墙在保障网络安全方面起着至关重要的作用是构建安全网络环境不可或缺的一环。
以下是一些市面上常见的防火墙产品
### 硬件防火墙产品
1、华为 USG6000E 系列性能稳定可靠具备强大的安全防护能力可有效抵御多种网络攻击。例如 USG6306 支持 4GE2Combo 固定接口IPSec 吞吐量性能良好适用于中小企业等网络环境。
2、深信服 AF 系列如 AF-1000-FH1300B功能丰富界面友好提供应用层防护、入侵检测、防病毒等多种安全功能适用于不同规模的企业网络。
3、锐捷网络 RG-WALL 1600 系列以 RG-WALL 1600-S3200 为例支持多种 VPN 类型和加密算法具备状态检测包过滤、应用层检测等功能可有效提升网络安全性和数据传输效率。
4、H3C SecPath F1000 系列像 F1000-AK1150 支持多种 VPN 协议和 SOP 虚拟防火墙技术能防御多种网络攻击可优化网络应用保障网络流畅性和安全性。
5、天融信 NGFW4000-UF在稳定性、性能和合规性方面表现突出主要服务于政府、金融、电信等对网络安全要求较高的行业能提供全面的网络安全防护。
### 软件防火墙产品
1、ZoneAlarm Pro可以防止特洛伊木马程序等恶意软件的入侵用户可方便地设置哪些软件可以访问网络基本版免费适合个人用户和小型企业。
2、Outpost Firewall Pro功能强大包括广告和图片过滤、内容过滤、DNS 缓存等功能不需复杂配置即可使用且是市场上第一个支持插件的防火墙可扩展性强。
3、Norton Personal Firewall由 Norton 公司出品能提供完整的网络安全防护防止重要资料被窃可过滤网站阻隔 Java applets、ActiveX 控制等网络入侵方式。
4、McAfee Personal Firewall Plus可以在电脑与互联网之间建立屏障防止潜在的黑客探测及攻击让防毒工作更完备还能提供有关可疑网络流量的详细资讯。
5、Sygate Personal Firewall Pro简单易用适合网络中的单机用户防止入侵者非法进入系统可从系统内部进行保护提供安全访问和访问监视功能检测到入侵能立即发出警报。
### 云防火墙产品
1、深信服云防火墙能够与深信服的其他云安全产品进行深度融合提供一站式的云安全解决方案支持多租户管理可根据不同租户的需求定制安全策略。
2、天融信云防火墙在云环境下具备强大的安全防护能力可提供网络访问控制、入侵检测、漏洞扫描等多种安全服务保障云资源的安全。
3、飞塔云防火墙具有创新性、智能性和灵活性能适应云环境的动态变化可实现自动化的安全策略部署和管理为云应用提供安全保障。
4、山石网科云防火墙基于其高性能、高可靠的技术优势为云平台提供全面的安全防护支持对云平台中的虚拟机、容器等资源进行细粒度的访问控制。
5、阿里云防火墙和阿里云盾web防火墙阿里云防火墙云原生的云上边界网络安全防护产品可提供统一的互联网边界、NAT 边界、VPC 边界、主机边界流量管控与安全防护。阿里云盾web防火墙主要为网站提供安全保护的云服务主要针对 Web 应用层面的安全防护。
###iptables防火墙
今天给大家介绍一下iptables防火墙iptables 是 Linux 操作系统中一个功能强大且应用广泛的防火墙工具主要用于对进出系统的网络数据包进行管控依据设定的规则来决定是允许数据包通过、拒绝数据包还是对数据包进行地址转换、修改等操作以此构建起系统的网络安全防护机制以及实现特定的网络功能配置contOS6以前的linux系统默认使用的iptables防火墙contOS7及以后版本默认使用firewalld防火墙麒麟操作系统同时内置了iptables防火墙和 firewalld防火墙同时使用之前咱们搭建LNMP架构时因为这个被坑过只关闭了一个导致80端口无法访问。
二、IPtables四表五链
1、四表
表名称功能内核模块filter表负责过滤功能防火墙iptables filternat表Network,Adffress,Translation用于网络地址转换IP端口iptables netmangle表拆解报文做出修改封装报文iptables mangleraw表关闭nat表上启用的连接追踪机制确定是否对该数据包进行状态跟踪iptable raw
2、五链
名称功能PREROUTING数据包进入路由之前INPUT目的地址为本机OUTPUT原地址为本机向外发送FORWARD实现转发POSTROUTING发送到网卡之前
三、iptables命令 查看默认防火墙规则
[rootm01 ~]#iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
清空默认的规则
[rootm01 ~]#iptables -F
[rootm01 ~]#iptables -Z
[rootm01 ~]#iptables -X
[rootm01 ~]#iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
四、iptables防火墙案例
案例1、禁止访问10.0.0.61的22端口
[rootm01 ~]#iptables -I INPUT -p tcp --dport 22 -j DROP
[rootm01 ~]#
Connection closed.
案例2删除规则
[rootm01 ~]# iptables -I INPUT -s 10.0.0.1 -j ACCEPT
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 10.0.0.1 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
删除规则的方法
1序号删除
查看编号信息
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 10.0.0.1 0.0.0.0/0
2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
删除INPUT链的第二条规则
[rootm01 ~]#iptables -D INPUT 2
[rootm01 ~]#iptables -nL --line
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 10.0.0.1 0.0.0.0/0
2,将I或者A替换成D禁止61的22端口已经删了只能删放通的
[rootm01 ~]#iptables -D INPUT -s 10.0.0.1 -j ACCEPT
[rootm01 ~]#iptables -nL --line
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
案例3 限制来源IP地址
[rootm01 ~]#iptables -I INPUT -s 172.16.1.7 -j DROP
[rootm01 ~]#限制172.16.1.7IP
[rootweb01 ~]#ssh 172.16.1.61IP远程连接61不通
^C
此时10.0.0.7可以连通
案例4限制网段
[rootm01 ~]#iptables -I INPUT -s 172.16.1.7/24 -j DROP (限制整个网段0708都不通了)
[rootm01 ~]#
[rootweb01 ~]#ssh 172.16.1.61
[rootweb02 ~]#ssh 172.16.1.61
此时10.0.0.0段可以通因为禁的不是这个网段
案例5限制80端口
[rootm01 ~]#iptables -I INPUT -p tcp --dport 80 -j DROP
[rootweb01 ~]#ping 10.0.0.61:80
ping: 10.0.0.61:80: Name or service not known
案例6:限制10.0.0.7不能访问61的80端口
[rootm01 ~]#iptables -I INPUT -s 10.0.0.7 -p tcp --dport 80 -j DROP
案例7对源IP进行取反
除了10.0.0.1之前所有的IP地址都不能访问我的服务器(慎重使用)
[rootm01 ~]#iptables -I INPUT ! -s 10.0.0.1 -j DROP此时172.16.1.0/段可以访问
案例8修改默认的规则
1.配置先允许自己可以访问61
[rootm01 ~]#iptables -I INPUT -s 10.0.0.1 -j ACCEPT
2.修改默认规则为DROP
[rootm01 ~]#iptables -P INPUT DROP
[rootm01 ~]#
[rootm01 ~]#iptables -nLChain INPUT (policy DROP)target prot opt source destination
ACCEPT all -- 10.0.0.1 0.0.0.0/0
[rootweb01 ~]#ssh 10.0.0.61 (10.0.0.7无法远程连接61了)
案例9多端口配置
允许80和443端口
[rootm01 ~]#iptables -I INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
,前后代表两个
前后待代表从前面的到后面的端口全部允许
案例10禁ping
禁ping 禁tracert
[rootweb01 ~]#ping 10.0.0.61 (禁用之前可以拼通)
PING 10.0.0.61 (10.0.0.61) 56(84) bytes of data.
64 bytes from 10.0.0.61: icmp_seq1 ttl64 time0.534 ms
64 bytes from 10.0.0.61: icmp_seq2 ttl64 time0.983 ms
[rootm01 ~]#iptables -I INPUT -p icmp --icmp-type 8 -j DROP
[rootweb01 ~]#ping 10.0.0.61禁用之后ping不通了
PING 10.0.0.61 (10.0.0.61) 56(84) bytes of data.
通过linux操作系统内核参数配置禁ping
设置为1为禁ping
设置为0开启ping
[rootm01 ~]#echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
[rootm01 ~]#cat /proc/sys/net/ipv4/icmp_echo_ignore_all
1
[rootm01 ~]#echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all
[rootm01 ~]#cat /proc/sys/net/ipv4/icmp_echo_ignore_all
0
案例11iptables的保持与恢复
iptables-save将当前的配置保持到/etc/sysconfig/iptables
[rootm01 ~]#iptables-save
恢复iptabales
1.重启读取/etc/sysconfig/iptables 配置文件中的策略
systemctl restart iptables
2.使用命令恢复
iptables-restore /etc/sysconfig/iptables
案例12 使用IPtables实现共享上网 服务端设置
1.iptables设置SNAT
将来源IP是172.16.1.0网段的流量全都转换成10.0.0.61去访问外网
[rootm01 ~]#iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.61
2.配置内核转发(拥有路由器功能)
[rootm01 ~]#echo net.ipv4.ip_forward 1 /etc/sysctl.conf
3.刷新配置
[rootm01 ~]#sysctl -p
net.ipv4.ip_forward 1使用ADSL拨号的网络: 注意事项: 公网ip不固定: iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
客户端设置
配置网关: 172.16.1.61 保证重启resolv.conf里DNS
[rootweb01 ~]#cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPEEthernet
BOOTPROTOnone
NAMEeth1
DEVICEeth1
ONBOOTyes
IPADDR172.16.1.7
PREFIX24
GATEWAY172.16.1.61
DNS1223.5.5.5
重启生效:
[rootweb01 ~]#systemctl restart network
案例13.IP地址映射
DNAT目标地址转换配置IP地址端口映射:
[rootm01 ~]#iptables -t nat -A PREROUTING -d 10.0.0.61 -p tcp --dport 9000 -j DNAT --to-destination 172.16.1.7:22
在我们的日常运维工作中防火墙的作用还是很大的所以最少要掌握一种防火墙的使用方法今天的iptables防火墙分享就到这里了改天小屁整理一篇firewalld防火墙的使用教程~~~~ 想成为大佬就要从小白开始从0开始一点一点的积累慢慢成长明天你就是大佬想学习更多麒麟操作系统的知识关注小屁让你成为运维老鸟~~~~~
