微网站自己怎么做的,苏州手机网站,深圳公众号开发公司,公司网站建设需要什么资质一、安全技术和防火墙 1.1 安全技术 入侵检测系统#xff1a;特点是不阻断网络访问#xff0c;主要是提供报警和时候报警#xff0c;不主动介入。
入侵防御系统#xff1a;透明模式工作#xff0c;对数据包、网络监控、服务攻击、木马蠕虫、系统漏洞等等进行准确的分析和…一、安全技术和防火墙 1.1 安全技术 入侵检测系统特点是不阻断网络访问主要是提供报警和时候报警不主动介入。
入侵防御系统透明模式工作对数据包、网络监控、服务攻击、木马蠕虫、系统漏洞等等进行准确的分析和判断。在判定为攻击行为后会立即阻断主动防御。所有数据在进入本机之前必须要通过的设备或软件。
防火墙核心功能隔离工作在网络或者主机的边缘一般在Internet和内网之间。对网络或者主机的数据包基于一定的规则进行检查根据匹配到的规则放行或拒绝丢弃数据包。
只开放允许访问的策略。白名单机制拒绝所有允许个别。
防水墙是一种防止内部信息泄露的产品。对外有防火墙的功能对内是透明模式工作类似于监控。 1.2 防火墙 iptables 这个linux自带的防火墙一般用于内部配置。对外一般不适用对外都使用专业的。
firewalld CentOS7以后默认的防火墙。功能和iptables大体一致。
ufw 是ubantu自带的防火墙ubantu也有iptables功能也一致
iptables ufw 和 firewalld都是包过滤防火墙对数据包进行控制。在网络层对数据包进行选择选择的依据是防火墙设置的策略。
策略IP地址端口协议。
优点处理速度快利于维护。
缺点无法检查应用层数据无法对病毒进行处理。
应用层防火墙在应用层对数据进行检查比较安全。
优点相对更安全可以精准定位问题。
缺点所有数据都要检查会增加防火墙的负载。 2.iptables防火墙
iptables防火墙工作在网络层针对数据包实施过滤和限制属于包过滤防火墙
1.3 内核态和用户态 内核态
涉及到软件的底层代码或者是系统的基层逻辑以及一些硬件的编码。相对比较复杂开发人员更关注内核态。
如果数据是内核态处理的处理速度相对较快。
iptables的过滤规则就是由内核来进行控制的。
用户态
应用层软件层面多是人为控制的一系列操作使用功能等。
运维人员一般只考虑用户态。
数据只通过用户态处理速度相对较慢。
二、iptables防火墙 iptables的配置和策略
2.1 四表五链 iptables的四表
1.Raw表 用于控制数据包的状态可以跟踪数据包的状态
2.Mangle表 用于修改数据包的头部信息
3.Nat表 用于网络地址转换可以改变数据包的源地址和目的地址
4.Filter表 也是iptables的默认表不做声明时默认就是filter表过滤数据包的进出以及接收和拒绝数据包
iptables的五链
PREROUTING链 处理数据包进入本机之前的规则路由前Nat表
INPUT链 处理数据包进入本机的规则Filter表是否允许数据包进入
OUTPUT链 处理本机发出的数据包的规则或者是数据包离开本机的规则Filter表是否允许数据包发出一般不做设置
FORWARD链 处理数据包转发到其他主机的规则或者是否允许本机进行数据包转发
POSTROUTING链 处理数据包离开本机之后的规则路由后Nat表
通俗的说法表里面有链链里面有规则。
四表的优先级
Raw Mangle Nat Filter匹配规则由高到低。
2.2 数据流向 例数据转发的过程 按优先级高低查四表里的链并匹配链里的规则
查PREROUTING链和POSTROUTING链查看地址变换规则
查FORWARD链是否允许转发以及转发的具体规则。
例请求响应的过程http https服务等 按优先级高低查四表里的链并匹配链里的规则
请求查INPUT链的规则是否允许该地址或者端口访问web服务。若拒绝数据包将直接丢弃
响应查OUTPUT链的规则是否允许响应一般不做约束。如拒绝响应的数据包也被丢弃 2.3 iptables命令
管理选项 在表的链中插入、增加、删除、查看规则。
匹配的条件 数据包的IP地址、端口、协议。
控制类型 允许拒绝丢弃地址转换。
注意事项
不指定表名的话默认指的是filter表不指定链名的话默认指的是所有链此乃禁止行为除非设置了链的默认策略否则必须指定匹配条件一般都要指定匹配条件大部分选项、所有的链名和控制类型都是大写
2.3.1 控制类型 ACCEPT 允许数据包通过
DROP 直接丢弃数据包且没有任何回应信息
REJECT 拒绝数据包通过数据包也会被丢弃但是会有响应的信息
SNAT 修改数据包的源地址(source)
DNAT 修改数据包的目的地址(destination)
2.3.2 常用管理选项 -A 在链中添加一条规则在链尾添加。
-I 指定位置插入一条规则。
-P 默认指定规则链的规则一般都是设置成拒绝默认是允许
-D 删除规则
-R 修改规则慎用
-vnL -v显示详细信息-n数字形式展示内容-L查看
--line-numbers 显示规则的编号一般和查看一起使用
-F 清空链中的所有规则慎用
-X 清除自定义链中的规则
2.3.3 常用匹配条件 -p 指定协议类型
-s 指定匹配的源IP地址
-d 指定匹配的目的IP地址
-i 指定数据包进入本机的网络设备指定网卡设备如ens33
-o 指定数据包离开本机的网络设备
--sport 指定源端口
--dprot 指定目的端口
-m 使用扩展模块扩展模块的使用方法在2.4内容中有介绍 2.3.4 iptables的命令格式
注意事项
[-t 表名]不指定时默认指定filter表[-j 控制类型]所有控制都要在前面 -j需要先安装iptables和iptables-services安装完成后启动并enable服务iptables命令立即生效不需要重启服务重启服务会恢复默认策略
2.3.5 iptables匹配原则
每个链中的规则都是从上到下的顺序依次匹配匹配到之后就不再向下匹配。如果链中没有规则则执行链的默认策略进行处理。
2.4 iptables实例
例插入规则
拒绝所有主机来ping本机 在上一行后再添加一行 在第一行插入规则 指定源IP地址20.0.0.20进行控制 对多个源IP地址时用逗号隔开 指定端口端口要写在协议后面 拒绝指定IP20.0.0.20通过ssh服务远程登录主机 拒绝指定IP20.0.0.20获取本机的web服务 2.5 iptables的备份和保存 iptables 的配置文件保存在 /etc/sysconfig/iptables每次重启服务都会重新读取配置文件里的规则
也可以通过iptables-save把当前防火墙配置保存在文件中每次需要读取这个配置时通过iptables-restore命令获取配置这个获取配置也是临时生效。可以配合脚本在系统启动时自动加载配置
2.6 iptables自定义链
创建自定义链 修改自定义链名 删除自定义链 2.7 地址转换 2.7.1 snat和dnat snat 源地址转换
内网—外网 内网IP转换成可以访问外网的IP
内网的多个主机可以只有一个有效的公网IP地址访问外部网络
dnat 目的地址转换
外部用户可以通过一个公网地址访问服务器内部的私网服务。
私网的IP和公网的IP做一个映射。
2.7.2 实验 1、test1 20.0.0.10 nginx服务
2、test2 两个网卡设备 ens3320.0.0.254私网的网关 ens3612.0.0.254用来模拟test3的地址是公网地址 模拟test1的公网IP 10.0.0.10test1的地址转换成10.0.0.10和test3进行通信 3、test3 12.0.0.10 nginx服务
要求在test2上配置防火墙使test1作为私网地址test3作为公网地址观察双方获取对方web服务时/var/log/nginx/access.log中记录的访问主机地址理解NAT的工作方式。
对test1test2test3的IP地址分别设置。其中test2两个网卡的IP地址分别作为test1和test3的网关地址。
对test2
Linux 内核参数的配置文件/etc/sysctl.conf 源地址转换 -t nat 指定表为nat表-A POSTROUTING 添加规则到链-s 20.0.0.0/24 指定网段-o 指定输出设备-j SNAT 指定控制参数SNAT--to 10.0.0.10 20.0.0.0/24网段的源地址转换为10.0.0.10这个公网IP地址
目的地址转换 -d 10.0.0.10 指定作为目的地址转换的IP地址 -i 从指定设备进入本机 -p 指定协议 --dport 指定端口 -j DNAT 使用目的地址转换 --to 20.0.0.10:80 外网想要访问内网的20.0.0.10:80端口号80也可以不加的web服务只需要访问公网的10.0.0.10这个IP地址。
2.7.3 tcpdump抓包工具
tcpdump是Linux系统自带的抓包工具。
固定抓包 tcp 指定抓包的协议这个位置是第一个参数也可以不指定 -i 只抓经过指定设备的包 -t 不显示时间戳可以不加 -s0 抓取完整的数据包 -c 10 抓几个数据包10就是抓10个包 dst port 指定抓包的目的端口 src net 指定抓包的IP网段如果要指定主机把net改成host -w 保存结果到指定文件 动态抓包 一般把抓包的记录保存在.cap文件导出到Windows系统用wireshark之类的抓包软件分析。需要注意的是使用wireshark分析需要tcpdump指定选项-s0获取抓包的完整格式。
