防火墙概述防火墙基本概念
防火墙(Firewall),亦称防护墙,是由CheckPoint创办者GilShwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。
它是一种坐落内部网路与外部网路之间的网路安全系统。是一项信息安全的防护系统,根据特定的规则,准许或是限制传输的数据通过。
防火墙的发展历程
防火墙从诞生开始,已经历了四个发展阶段:
现阶段常见的防火墙属于具有安全操作系统的防火墙,比如NETEYE、NETSCREEN、TALENTIT等。
防火墙的基本类型
网路层防火墙
网路层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP合同堆栈上。可以以枚举的方法只容许符合特定规则的封包通过,其余的一概严禁穿越防火墙(病毒除外,防火墙不能避免病毒侵入)。这种规则一般可以经由管理员定义或更改,不过个别防火墙设备可能只能套用外置的规则。
应用层防火墙
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,您使用浏览器时所形成的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,但是封锁其他的封包(一般是直接将封包遗弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
数据库防火墙
数据库防火墙是一款基于数据库合同剖析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库防火墙通过SQL合同剖析,按照预定义的严禁和许可策略让合法的SQL操作通过,阻断非法违法操作,产生数据库的外围防御圈,实现SQL危险操作的主动防治、实时审计。
数据库防火墙面对来自于外部的入侵行为,提供SQL注入严禁和数据库虚拟补丁包功能
防火墙有什么技术类型
防火墙有什么插口模式?
防火墙有四种插口模式,分别是L3模式、L2模式、L1模式和TAP模式。
L1~L3模式是将防火墙进行串连,TAP模式是防火墙进行旁挂。
Linux防火墙防火墙的基本原理
节传输流程,可以分为以下几层:
Linux防火墙在企业应用中的应用linux防火墙工具iptables
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以取代高昂的商业防火墙解决方案,完成封包过滤、封包重定向和网路地址转换(NAT)等功能。
Iptables是配置Netfilter过滤功能的用户空间工具。netfilter才是防火墙真正的安全框架(framework),netfilter坐落内核空间。iptables虽然是一个命令行工具,坐落用户空间,我们用这个工具操作真正的框架。Iptable按照规则所定义的方式来处理数据包,如放行(accept)、拒绝(reject)和遗弃(drop)等。
Netfilter/Iptables数据包过滤系统可以当作一个整体,netfilter是内核的模块实现,iptables是对下层操作工具。
倘若不严格的分辨则在Linux中netfilter和iptables都可以觉得是指Linux防火墙。
实际Iptables是一个管理内核包过滤的工具,可以拿来配置核心包过滤表格中的规则。运行于用户空间。
区别在于:netfilter是Linux的2.4版内核引入了一种全新的包过滤引擎,称为Netfilter。指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的方式存在,属于“内核态”的防火墙功能体系。iptables指的是拿来管理Linux防火墙的命令程序linux 回环接口,一般坐落/sbin/iptables,属于“用户态”的防火墙管理体系。iptables是控制Netfilter的工具,是Linux2.2版内核中比较老的命令ipchains的兄弟。
Netfilter所设置的规则是储存在内核显存中的,而iptables是一个应用层的应用程序,它通过Netfilter放出的插口来对储存在内核显存中的XXtables(Netfilter的配置表)进行更改。这个XXtables由表tables、链chains、规则rules组成,iptables在应用层负责更改这个规则文件。类似的应用程序还有firewalld。
iptables和netfilter的联系?
好多人一提及防火墙立刻就想到了是iptables,虽然iptables并不是防火墙,他只是一个软件或则说是一个工具,这个软件可以编撰个别规则,将写好的规则保存到netfilter的规则数据库中。因而,真正起到"防火"的功能是netfilter,并不是iptables。netfilter是内核中的一个框架,这个框架上面包含了4个表和5个链,这种链又包含了好多的规则。而数据包要比对的规则就是这个链中所定义的规则。
iptables基础
iptables的四个表分别是filter,mangle,nat,raw,默认表是filter。
iptables的五个链分别是PREROUTING,INPUT,FORWARDlinux基础教程,OUTPUT,POSTROUTING。
iptables组成
iptables命令速查
句型iptables(选项)(参数)
命令选项输入次序
iptables -t 表名 规则链名 [规则号] -p 协议名 --sport 源端口 --dport 目标端口 -j 动作
选项
-t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。
# 通用匹配:源地址目标地址的匹配
-p:指定要匹配的数据包协议类型;
-s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.168.1.1;当 mask 指定时,可以表示一组范围内的地址,比如:192.168.1.0/255.255.255.0。
-d, --destination [!] address[/mask] :地址格式同上,但这里是指定地址为目的地址,按此进行过滤。
-i, --in-interface [!] :指定数据包的来自来自网络接口,比如最常见的 eth0 。注意:它只对 INPUT,FORWARD,PREROUTING 这三个链起作用。如果没有指定此选项, 说明可以来自任何一个网络接口。同前面类似,"!" 表示取反。
-o, --out-interface [!] :指定数据包出去的网络接口。只对 OUTPUT,FORWARD,POSTROUTING 三个链起作用。
# 查看管理命令
-L, --list [chain] 列出链 chain 上面的所有规则,如果没有指定链,列出表上所有链的所有规则。
# 规则管理命令
-A, --append chain rule-specification 在指定链 chain 的末尾插入指定的规则,也就是说,这条规则会被放到最后,最后才会被执行。规则是由后面的匹配来指定。
-I, --insert chain [rulenum] rule-specification 在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1,则在链的头部插入。这也是默认的情况,如果没有指定规则号。
-D, --delete chain rule-specification -D, --delete chain rulenum 在指定的链 chain 中删除一个或多个指定规则。
-R num:Replays替换/修改第几条规则
# 链管理命令(这都是立即生效的)
-P, --policy chain target :为指定的链 chain 设置策略 target。注意,只有内置的链才允许有策略,用户自定义的是不允许的。
-F, --flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链,清空该表上所有链的所有规则。
-N, --new-chain chain 用指定的名字创建一个新的链。
-X, --delete-chain [chain] :删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链。
-E, --rename-chain old-chain new-chain :用指定的新名字去重命名指定的链。这并不会对链内部造成任何影响。
-Z, --zero [chain] :把指定链,或者表中的所有链上的所有计数器清零。
-j, --jump target :即满足某条件时该执行什么样的动作。target 可以是内置的目标,比如 ACCEPT,也可以是用户自定义的链。
-h:显示帮助信息;
基本参数
参数 作用
-P 设置默认策略:iptables -P INPUT (DROP
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
--dport num 匹配目标端口号
--sport num 匹配来源端口号
操作实例清空当前的所有规则和计数
iptables-F#清空所有的防火墙规则
iptables-X#删掉用户自定义的空链
iptables-Z#清空计数
配置容许ssh端口联接
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
# 22为你的ssh端口, -s 192.168.1.0/24表示允许这个网段的机器来连接,其它网段的ip地址是登陆不了你的机器的。 -j ACCEPT表示接受这样的请求
容许本地回环地址可以正常使用
iptables -A INPUT -i lo -j ACCEPT
#本地圆环地址就是那个127.0.0.1,是本机上使用的,它进与出都设置为允许
iptables -A OUTPUT -o lo -j ACCEPT
设置默认的规则
iptables-PINPUTDROP#配置默认的不让进iptables-PFORWARDDROP#默认的不容许转发iptables-POUTPUTACCEPT#默认的可以出去
配置白名单
iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT # 允许机房内网机器可以访问
iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT # 允许机房内网机器可以访问
iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT # 允许183.121.3.7访问本机的3380端口
开启相应的服务端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开启80端口,因为web对外都是这个端口
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # 允许被ping
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已经建立的连接得让它进来
保存规则到配置文件中
cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 任何改动之前先备份,请保持这一优秀的习惯
iptables-save > /etc/sysconfig/iptables
cat /etc/sysconfig/iptables
列举已设置的规则
iptables-L[-t表名][链名]
四个表名raw,nat,filter,mangle五个规则链名INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTINGfilter表包含INPUT、OUTPUT、FORWARD三个规则链
iptables -L -t nat # 列出 nat 上面的所有规则
# ^ -t 参数指定,必须是 raw, nat,filter,mangle 中的一个
iptables -L -t nat --line-numbers # 规则带编号
iptables -L INPUT
iptables -L -nv # 查看,这个列表看起来更详细
去除已有规则
iptables -F INPUT # 清空指定链 INPUT 上面的所有规则
iptables -X INPUT # 删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。
# 如果没有指定链名,则会删除该表中所有非内置的链。
iptables -Z INPUT # 把指定链,或者表中的所有链上的所有计数器清零。
删掉已添加的规则
添加一条规则
iptables-AINPUT-s192.168.1.5-jDROP
将所有iptables以序号标记显示,执行:
iptables-L-n--line-numbers例如要删掉INPUT里序号为8的规则,执行:
iptables-DINPUT8
开放指定的端口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行
iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口
iptables -A INPUT -j reject #禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问
屏蔽IP
iptables -A INPUT -p tcp -m tcp -s 192.168.0.8 -j DROP # 屏蔽恶意主机(比如,192.168.0.8
iptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令
指定数据包出去的网路插口只对OUTPUT,FORWARD,POSTROUTING三个链起作用。
iptables -A FORWARD -o eth0
查看已添加的规则
iptables -L -n -v
Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination
5075 589K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
191K 90M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
1499K 133M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
4364K 6351M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6256 327K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
pkts bytes target prot opt in out source destination
5075 589K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
启动网路转发规则
网段210.14.67.7让外网192.168.188.0/24上网
iptables -t nat -A POSTROUTING -s 192.168.188.0/24 -j SNAT --to-source 210.14.67.127
端口映射
本机的2222端口映射到外网虚拟机的22端口
iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222 -j DNAT --to-dest 192.168.188.115:22
iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222 -j DNAT --to-dest 192.168.188.115:22
linux防火墙firewalld
在RHEL7/Centos7里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令一直是iptables等。
RHEL7/Centos7默认的防火墙是firewall,取代了原先的iptables
firewalld使用愈加便捷、功能也更加大大一些
firewalld服务引入了一个信任级别的概念来管理与之相关联的联接与插口。它支持ipv4与ipv6,并支持集线器,采用firewall-cmd(command)或firewall-config(gui)来动态的管理kernelnetfilter的临时或永久的插口规则linux 回环接口,并实时生效而无需重启服务。
关掉防火墙,准许所有数据包通过
firewall-cmd--set-default-zone=trusted
开启关掉防火墙
1、查看防火墙状态
sudosystemctlstatusfirewalld或firewall-cmd--state
2、开启防火墙
sudosystemctlstartfirewalld//马上生效linux教程,重启会恢复原先状态sudosystemctlenablefirewalld//重启生效,重启不会恢复原先状态
3、关闭防火墙
sudosystemctlstopfirewalld//马上生效,重启会恢复原先状态sudosystemctldisablefirewalld//重启生效,重启不会恢复原先状态
4、重新加载防火墙配置
firewall-cmd--reload
防火墙端口管理
新增端口
打开tcp3838
firewall-cmd--zone=public--add-port=3838/tcp--permanent
打开udp3838
firewall-cmd--zone=public--add-port=3838/udp--permanent
重新加载防火墙
firewall-cmd--reload
【命令含意】
–zone#作用域
–add-port=3838/tcp#添加端口,格式为:端口/通信合同
–permanent#永久生效,没有此参数重启后失效
-reload#重新加载。不中断用户联接,不遗失状态信息。
移除端口
与新增端口关键字相反,把add改为remove即可。
查询指定端口是否开启防火墙
firewall-cmd--query-port=3939/tcp#查询tcp端口3939
查询什么端口开放
firewall-cmd--list-port