1.首先我们来简单的认识一下防火墙:
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。下面让我们一起简单的了解一下三种防火墙:
第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上”所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前,市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
下面是从不同的方面来对防火墙进行的一些划分:
从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙;
从防火墙技术分为 “包过滤型”和“应用代理型”两大类;
从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;
按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类;
按防火墙性能分为百兆级防火墙和千兆级防火墙两类。
防火墙功能:
可以保护易受攻击服务;
控制内外网之间网络系统的访问;
集中管理内网的安全性,降低管理成本;
提高网络的保密性和私有性;
记录网络的使用状态,为安全规划和网络维护提供依据。
2.了解Linux防火墙: 防火墙的核心是数据报文的过滤,工作在主机或者网络的边缘,对进出的数据报文进行检查、监控并且能够根据事先定义的匹配条件和规则做出相应的动作的组件、机制或者系统。**Linux一般都是作为服务器系统来使用,对外提供一些基于网络的服务,通常我们都需要对服务器进行一些网络访问控制(常见的访问控制包括:哪些ip可以访问服务器、可以使用哪些协议访问服务器、可以通过哪些接口访问服务器,是否通过数据包进行修改等。比如:服务器可能受到来自于某个ip攻击,这时就需要禁止所有来自ip的访问)**这类似于防火墙的功能,所以我们称之为Linux防火墙服务。
接着我们认识一下基于操作系统的四层模型,防火墙是在哪一层工作的:
对于五条链,我认为我们可以简单的将其看作是五个虚拟接口更好理解一点,如下图所示,PreInput、PreOutput就是我们防火墙连接外网的接口,Input、Output就是我们防火墙连接内网的接口,而Forward就是连接我们防火墙的一个转发接口,当收到一个数据包,首先会匹配PreInput接口中的规则,如果允许的话并且数据包确实是发送给我这台主机的话,那么数据包通过Input接口中的规则转发给指定的应用程序,否则数据包转发到Forward接口,Forward接口会再次进行规则匹配并根据相应的ip地址将数据包转发出去。相应的,如果某个应用程序需要发送数据的话,那么数据包需要先匹配Output接口中定义的规则对数据包做出处理,之后在根据PostRouting中定义的规则将数据包转发出去。
5.学习使用iptables应用程序对netfilter进行规则设定:
5.1首先我们安装一下iptables应用程序对应的软件包:
5.1学习iptables的命令格式(切记在使用iptables时必须将firewalld程序停掉):
5.2下面我们以几个案例来对iptables进行部署练习:
案例一: 搭建web服务,并且能够正常访问,通过iptables拒绝web服务端口
#列出规则表中的编号
默认情况下,firewalld服务有以下的区域(zone)可用:
1>drop——丢弃所有传入的网络数据包并且无回应,只有传出网络连接可用;
2>block——阻塞区,拒绝所有传入网络数据包并回应一条主机禁止的 ICMP 消息,只有传出网络连接可用;
3>public——只接受被选择的传入网络连接,用于公共区域;
4>external——外部区,用于启用了地址伪装的外部网络,只接受选定的传入网络连接;
5>dmz—— DMZ 隔离区,外部受限地访问内部网络,只接受选定的传入网络连接;
6>work——对于处在你工作区域内的计算机,只接受被选择的传入网络连接;
7>home——对于处在你家庭区域内的计算机,只接受被选择的传入网络连接;
8>internal——内部网络区域,对于处在你内部网络的计算机,只接受被选择的传入网络连接;
9>trusted——受信任区域,所有网络连接都接受。
6.2firewalld应用程序的使用及案例操作部署:
6.3通过图形化工具进行相应的配置(可以启动图形界面查看预定义服务,在有条件的情况下推荐使用图形化界面进行配置。预定义服务在命令行模式下可以通过查看firewalld.service(5)man手册也可以通过查看/usr/lib/firewalld/services/目录了解更详细):
#命令行下通过下列命令进入图形化界面
6.6了解rich rule富规则(我认为我们可以将富规则理解为比较富裕的规则,得匹配执行的规则):
图形界面添加富规则:
命令行界面:
富规则的格式:
#重载
#启用Linux上的一些服务,以imaps协议为例
#端口管理
文章知识点与官方知识档案匹配,可进一步学习相关知识CS入门技能树Linux入门初识Linux24758 人正在系统学习中
来源:Zhang To_Dream
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!