linux安全技术与iptables防火墙

一、安全技术

入侵检测系统：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署方式。

入侵防御系统：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以 阻断，主动而有效的保护网络的安全，一般采用在线部署方式。（必经之路）。

防火墙：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默 认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。

防水墙：
广泛意义上的防水墙：防水墙，与防火墙相对，是一种防止内部信息泄漏的安全产品。   网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事  中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

二、防火墙

2.1防火墙概念

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。 

2.2防火墙分类

按保护范围分：

主机防火墙：服务范围为当前一台主机

网络防火墙：服务范围为防火墙一侧的局域网

按实现方式分：

硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：华为， 山石hillstone,天融信，启明星辰，绿盟，深信服, PaloAlto , fortinet, Cisco, Checkpoint，NetScreen

软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，Windows 防火墙 ISA --> Forefront

按网络协议划分：

网络层p墙：OSI模型下四层

应用层防火墙：proxy 代理网关，OSI模型七层

应用层防火墙：

将所有跨越防火墙的网络通信链路分为两段

内外网用户的访问都是通过代理服务器上的“链接”来实现优点：在应用层对数据进行检查，比较安全

缺点：增加防火墙的负载

提示：现实生产环境中所使用的防火墙一般都是二者结合体，即先检查网络数据，通过之后再送到应用 层去检查

三、Linux防火墙基本认知

3.1Netfilter

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中

Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制，是linux内核的一个子系统。Netfilter采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等操作

3.2防火墙工具介绍

iptables：

由软件包iptables提供的命令行工具，工作在用户空间，用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包

firewalld：

从CentOS 7 版开始引入了新的前端管理工具

软件包：

firewalld

firewalld-config

管理工具：

firewall-cmd 命令行工具

firewall-config 图形工作

netfilter/iptables关系：

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。 

表中所有规则配置后，立即生效，不需要重启服务。

3.3iptables防火墙默认规则表、链结构

iptables由五个表table和五个链chain以及一些规则组成：

数据包到达防火墙时，规则表之间的优先顺序:  raw > mangle > nat > filter

四、四表五链

4.1四表

raw表∶ 确定是否对该数据包进行状态跟踪

mangle表∶为数据包设置标记

nat表∶ 负责网络地址转换，用来修改数据包中的源、目标IP地址或端口

filter表 :负责过滤数据包， 确定是否放行该数据包（过滤）

4.2五链

INPUT∶ 处理入站数据包，匹配目标IP为本机的数据包。

OUTPUT∶处理出站数据包，一般不在此锌上，做配置。

FORWARD∶ 处理转发数据包，匹配流经本机的数据包。

PREROUTING链∶ 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的工P和端口映射到路由器的外网IP和端口上。

POSTROUTING链∶ 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网工P地址上网。

4.3四表五链总结：

规则表的作用∶容纳各种规则链

规则链的作用∶容纳各种防火墙规则

表里有链，链里有规则

4.3.1规则链之间的匹配顺序:

• 入站数据（来自外界的数据包，且目标地址是防火墙本机）∶ PREROUTING --> INPUT --> 本机的应用程序
• 出站数据（从防火墙本机向外部地址发送的数据包）∶ 本机的应用程序 --> OUTPUT --> POSTROUTING网络型防火墙∶
• 转发数据（需要经过防火墙转发的数据包）∶ PREROUTING --> FORWARD --> POSTROUTING

4.3.2规则链内的匹配顺序:

• 自上向下按顺序依次进行检查，找到相匹配的规则即停 止 （LoG策略例外， 表示记录相关日志）
• 若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

4.4内核数据包的传输过程

1.当一个数据包进入网卡时，数据包首先进入 PREROUTING 链，内核根据数据包目的IP判断是否需要转送出去
2.如果数据包是进入本机的，数据包就会沿着图向下移动，到达 INPUT 链。数据包到达 INPUT 链后， 任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT 链，然后到达
3.如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过 FORWARD 链，然后到达 POSTROUTING 链输出

4.5三种报文流向：

流入本机：PREROUTING --> INPUT-->用户空间进程(访问我的服务)

流出本机：用户空间进程 -->OUTPUT--> POSTROUTING（穿过我）

转发：PREROUTING --> FORWARD --> POSTROUTING（分摊流量）

五、iptables的配置

5.1iptables的安装

Centos 7默认使用firewalld防火墙，没有安装iptables， 若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables。

5.2iptables防火墙配置方法：

5.2.1使用图形化来管理 system-config-firewall(centos 6)

5.2.2使用iptables命令行管理:

命令格式：
iptables  [-t 表名]  管理选项  [链名] [匹配条件] [-j 控制类型]

注意事项：

不指定表名时，默认指filter表

不指定链名时，默认指表内的所有链

除非设置链的默认策略，否则必须指定匹配条件

选项、链名、控制类型使用大写字母，其余均为小写

语法总结：

常见的管理选项：

常用控制类型：

通用匹配：

六、iptables操作

6.1查看iptabes的规则

6.2指定表查看

iptables -t filter -vnL

iptables -t filter -vnL INPUT （在最后面加入链的名称，可以只显示该表
该链的规则）

6.3删除规则

删除指定链

全部删除

6.4添加新规则