Linux安全

一、Linux防火墙firewalld

1.1、firewalld概述

支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
工作在网络层
支持IPv4、IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式：运行时配置、永久配置

1.2、firewalld和iptables的关系

Firewalld和iptables都是用来管理防火墙的工具(属于用户态）来定义防火墙的各种规则功能，内部结构都指向netfilter网络过滤子系统（属于内核态）来实现包过滤防火墙功能。

1、iptables主要是基于接口，来设置规则，从而判断网络的安全性。
firewalld是基于区域，根据不同的区域来设置不同的规则，从而保证网络的安全。与硬件防火墙的设置相类似。

2、iptables 在/etc/ syseonfig/iptables 中储存配置
firewalld将配置储存在/etc/firewalld/(优先加载）和/usr/lib/firewalld/（默认的配置文件)中的各种XML文件里。

3、使用iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。
使用firewalld 却不会再创建任何新的规则，仅仅运行规则中的不同之处。因此firewalld可以在运行时间内，改变设置而不丢失现行连接。
4、iptables 防火墙类型为静态防火墙
firewalld 防火墙类型为动态防火墙

1.3、firewalld防火墙区域

firewalld防火墙为了简化管理，将所有网络流量分为多个区域(zone）。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

firewalld防火墙预定义9个区域

区域	作用
trusted（信任区域）	允许所有的传入流量。
public（公共区域）	允许与ssh或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域。
external（外部区域）	允许与ssh预定义服务匹配的传入流量其余均拒绝。是新添加网络接口的默认区域
home（家庭区域）	允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其他均拒绝。
internal（内部区域）	默认时与home区域相同。
work（工作区域）	允许与ssh、dhcpv6-client预定义服务匹配的传入流量，其他均拒绝
dmz（隔离区域也称非军事区域）	允许与ssh预定义服务匹配的传入流量，其他均拒绝。
block（限制区域）	拒绝所有传入流量。
drop（丢弃区域）	丢弃所有传入流量，并且不产生包含icmp的错误响应

1.4、firewalld配置方法

运行时配置

实时生效，并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置

永久配置

不立即生效，除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置

二、Linux防火墙iptables

2.1、Linux防火墙基础

Linux系统的防火墙：IP信息包过滤系统，它实际上由两个组件netfilter和 iptables组成。

主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

2.2、包过滤防火墙概述

这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多人知道iptables却不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是 netfilter，它是Linux内核中实现包过滤的内部结构。

netfilter

位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”（内核空间）
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables

位于/sbin/iptables
用来管理防火墙规则的工具称为Linux防火墙的“用户态”
它使插入、修改和删除数据包过滤表中的规则变得容易

2.3、四表五链

netfilter/iptables后期简称为iptables。 iptables是基于内核的防火墙，其中内置了raw、mangle、nat和 filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则

总结:表里有链,链里有规则

四表

表名	作用
raw表	确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING
mangle表	修改数据包内容，用来做流量整形，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat表	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING
filter表	负责过滤数据包，确定是否放行该数据包(过滤)。包含三个规则链，INPUT、 FORWARD、 OUTPUT

五链

链名	作用
INPUT	处理入站数据包，匹配目标IP为本机的数据包。
OUTPUT	处理出站数据包，一般不在此链上做配置。
FORWARD	处理转发数据包，匹配流经本机的数据包。
PREROUTING链	在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING链	在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

数据包到达防火墙时，规则表之间的优先顺序:raw >mangle > nat > filter

规则链之间的匹配顺序:

主机型防火墙:

入站数据（来自外界的数据包，且目标地址是防火墙本机）:PREROUTING --> TNPIT -->本机的应用程序
出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING;
网络型防火墙:

转发数据（需要经过防火墙转发的数据包):PREROUTING -->FORWARD -->POSTROUTING

规则链内的匹配顺序:

自上向下按顺序依次进行检查，找到相匹配的规则即停止:(LoG策略例外，表示记录相关日志)
若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许)

2.4、使用iptables命令行管理

命令格式： iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项：

不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写

常用控制类型

控制类型	作用
ACCEPT	允许数据包通过(默认)
DROP	直接丢弃数据包，不给出任何回应信息
REJECT	拒绝数据包通过，会给数据发送端一个响应信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUERADE	伪装成一个非固定公网IP地址
LOG	在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包

常用管理选项

管理选项	作用
-A	在指定链的末尾追加(--append)一条新的规则
-l	在指定链的开头插入(--insert)一条新的规则，未指定序号时默认作为第一条规则
-R	修改、替换(--replace) 指定链中的某一条规则，可指定规则序号或具体内容
-P	设置指定链的默认策略(--policy)
-D	删除(--delete) 指定链中的某一条规则，可指定规则序号或具体内容
-F	清空(--flush)指定链中的所有规则，若未指定链名，则清空表中的所有链
-L	列出(--list) 指定链中所有的规则，若未指定链名，则列出表中的所有链
-n	使用数字形式(--numeric) 显示输出结果，如显示IP地址而不是主机名
-v	显示详细信息，包括每条规则的匹配包数量和匹配字节数
--line-numbers	查看规则时，显示规则的序号

2.5、规则匹配

通用匹配

可直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。

协议匹配：-p 协议名
地址匹配：-s 源地址、-d 目的地址可以是IP、网段、域名、空（任何地址)
接口匹配：-i 入站网卡、-o出站网卡

隐含匹配

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。

端口匹配: --sport 源端口、--dport 目的端口，可以是个别端口、端口范围

--sport 1000 匹配源端口是1000的数据包
--sport 1000:3000 匹配源端口是1000-3000的数据包
--sport :3000 匹配源端口是3000及以下的数据包
--sport 1000: 匹配源端口是1000及以上的数据包
--sport和--dport 必须配合 -p <协议类型> 使用

实操例子

删除规则