目錄

一、安全技術(shù)

1、安全技術(shù)

2、防火墻分類

????????二、防火墻

1、iptables五表五鏈

2、黑白名單

3、iptables基本語法

4、iptables選項

5、控制類型

6、隱藏擴展模塊

7、顯示擴展模塊

8、iptables規(guī)則保存

9、自定義鏈使用

---

一、安全技術(shù)

1、安全技術(shù)

①入侵檢測系統(tǒng)（Intrusion Detection Systems）：特點是不阻斷任何網(wǎng)絡(luò)訪問，量化、定位來自內(nèi)外網(wǎng)絡(luò)的威脅情況，主要以提供報警和事后監(jiān)督為主，提供有針對性的指導措施和安全決策依據(jù),類 似于監(jiān)控系統(tǒng)一般采用旁路部署（默默的看著你）方式。

②入侵防御系統(tǒng)（Intrusion Prevention System）：以透明模式工作，分析數(shù)據(jù)包的內(nèi)容如：溢出攻擊、拒絕服務(wù)攻擊、木馬、蠕蟲、系統(tǒng)漏洞等進行準確的分析判斷，在判定為攻擊行為后立即予以 阻斷，主動而有效的保護網(wǎng)絡(luò)的安全，一般采用在線部署方式。

③防火墻（ FireWall ）：隔離功能，工作在網(wǎng)絡(luò)或主機邊緣，對進出網(wǎng)絡(luò)或主機的數(shù)據(jù)包基于一定的規(guī)則檢查，并在匹配某規(guī)則時由規(guī)則定義的行為進行處理的一組功能的組件，基本上的實現(xiàn)都是默 認情況下關(guān)閉所有的通過型訪問，只開放允許訪問的策略,會將希望外網(wǎng)訪問的主機放在DMZ (demilitarized zone)網(wǎng)絡(luò)中。

2、防火墻分類

①按保護范圍劃分

主機防火墻：服務(wù)范圍為當前一臺主機。

網(wǎng)絡(luò)防火墻：服務(wù)范圍為防火墻一側(cè)的局域網(wǎng)。

②按實現(xiàn)方式劃分

硬件防火墻：在專用硬件級別實現(xiàn)部分功能的防火墻；另一個部分功能基于軟件實現(xiàn)，華為、深信服等。

軟件防火墻：運行于通用硬件平臺之上的防火墻的應用軟件，Windows 防火墻 ISA --> Forefront。

③按網(wǎng)絡(luò)協(xié)議劃分

包過濾防火墻：只對osi模型下四層生效，速度快拆包少。

網(wǎng)絡(luò)層防火墻：OSI模型下四層，又稱為包過濾防火墻。

應用層防火墻/代理服務(wù)器：proxy 代理網(wǎng)關(guān)，OSI模型七層。

二、防火墻

1、iptables五表五鏈

①五表

secure表：用于強制訪問控制（MAC）網(wǎng)絡(luò)規(guī)則，由Linux安全模塊（如SELinux）實現(xiàn)。

raw表：關(guān)閉啟用的連接跟蹤機制，加快封包穿越防火墻速度。

mangel表：修改數(shù)據(jù)標記位規(guī)則表。

nat表：地址轉(zhuǎn)換規(guī)則表。

filter表：過濾規(guī)則表，根據(jù)預定義的規(guī)則過濾符合條件的數(shù)據(jù)包，默認表為filter表。

②五鏈

INPUT鏈：處理入站數(shù)據(jù)包。

OUTPUT鏈：處理出站數(shù)據(jù)包。

FORWARD鏈：轉(zhuǎn)發(fā)數(shù)據(jù)包。

PREROUTING鏈：處理路由選擇前數(shù)據(jù)包。

POSTROUTING鏈：處理路由選擇后數(shù)據(jù)包。

2、黑白名單

①黑名單：默認全部允許通過，添加誰才不允許誰通過。

②白名單：默認全部不允許通過，添加誰允許誰通過。

3、iptables基本語法

iptables? [-t? 表名]? ? 選項? ?[鏈名]? [條件] [-j 控制類型]

4、iptables選項

-A? 在鏈的末尾追加一條規(guī)則。

-I? ?在鏈的行首插入一條新的規(guī)則，若-I 后加數(shù)字表示在第幾條前插入新規(guī)則。

-D? 刪除規(guī)則。

?-P? 修改默認鏈的默認規(guī)則，默認都是ACCEPT，使用格式：iptables -P 修改的鏈? ? ?修改的默認規(guī)則。

-F? ?清空防火墻規(guī)則，默認情況filter表，加-t 表名可以情況其他表。

-R? ?替換某條規(guī)則，-R? +要替換的規(guī)則編號。

-L? ? 以列表查看iptables，使用組合時必須在最后一位。

-N? ?添加自定義規(guī)則鏈。

-X? ?刪除自定義規(guī)則鏈。

-p? ? 指定服務(wù)名稱，TCP、ICMP等。

-n? ? 數(shù)字化顯示規(guī)則表，多用于和-n? -L選項配合看表。

-v? ? ?顯示規(guī)則表的詳細信息。

--line--numbers? 查看規(guī)則編號。

5、控制類型

控制類型需要使用 -j 跳轉(zhuǎn)到某類型處理數(shù)據(jù)包。

①ACCEPT：允許通過

②REJECT ：拒絕通過

③DROP：丟棄，會接受但是將數(shù)據(jù)包丟棄不處理6、隱藏擴展模塊

④SNAT：源地址轉(zhuǎn)換

⑤DNAT：目的地址轉(zhuǎn)換

6、隱藏擴展模塊

iptables在使用-p 指定協(xié)議時，若指明特定協(xié)議后就無須再使用-m指明擴展模塊的擴展機制，例如若已經(jīng)指明是 -p? tcp 協(xié)議則使用--dport及--sport等tcp模塊內(nèi)容時即可省略-m tcp。

①TCP模塊

--sport? 指明源端口，使用格式： --sport? 端口或 端口1：端口2(端口1到端口2的連續(xù)端口范圍指定)。

--dport? 指明目的端口，使用格式： --dport? 端口或 端口1：端口2(端口1到端口2的連續(xù)端口范圍指定)。

②ICMP模塊

--icmp-type? 指定icmp的type值制定規(guī)則。type值：Echo- Request" (代碼為8)、表示請求 "Echo- Reply" (代碼為0)表示回復 、"Dest ination-Unreachable" (代碼為3)表示目標不可達。

例如設(shè)置自己可以ping其他機器但是不允許其他機器ping自己。

7、顯示擴展模塊

擴展模塊使用格式：??-m? {模塊名}? ?[選項]

①multiport模塊

--sports 端口1，端口2 ,等 使用，隔開最多指定15個不連續(xù)端口。

--dports 端口1，端口2 ,等 使用，隔開最多指定15個不連續(xù)端口。

②?iprange模塊

iprange模塊可以指定連續(xù)的(一般不是整個網(wǎng)絡(luò))ip地址范圍。

--src-range 源地址范圍或 目的地址范圍，例如：10.0.0.0-10.0.0.15。

--dst-range 源地址范圍或 目的地址范圍，例如：10.0.0.0-10.0.0.15。

③mac地址模塊

指明源MAC地址，適用INPUT鏈，PREOUTING，POSTROUTING鏈。

--mac-source? ? 源mac地址，只能指定源mac地址。

④string字符串模塊

可以使用string模塊指定字符串范圍。

--from offset 字符串開始查詢的地方。

--to offset? ? ?字符串結(jié)束查詢的地方 ?。

例如：iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62 --string "bilibili" -j REJECT ?

⑤connlimit模塊

據(jù)每客戶端IP做并發(fā)連接數(shù)數(shù)量匹配，可防止Dos(Denial of Service，拒絕服務(wù))攻擊。

--connlimit-upto N? ? ?#連接的數(shù)量小于等于N時匹配

--connlimit-above N? ?#連接的數(shù)量大于N時匹配

例如：iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 2 -j REJECT

⑥stat模塊

stat模塊可以根據(jù)連接狀態(tài)控制數(shù)據(jù)包。

NEW：新發(fā)出的請求；第一次發(fā)出的請求。

ESTABLISHED：new之后的正常連接狀態(tài)。

例如：ipatables -A INPUT -m state --state NEW -j REJECT

? ? ? ? ? ?ipatables -A INPUT -m state --state ESTABLISHED -j ACCEPT

⑦控制流量模塊

limit控制流量模塊，可以控制通過的包數(shù)以及每分鐘或每小時通過的包數(shù)。

--limit? ? ?10/minute(1分鐘之內(nèi)只允許10個包通過)

--limit-burs? ? 數(shù)字? ? 例如： --limit-burst 5(允許通過前5個包，5個包不受影響)

8、iptables規(guī)則保存

將寫好的規(guī)則導入一個文件中? iptables-save >文件名。

永久保存保存規(guī)則的文件重新寫入? ?iptables-restore <保存規(guī)則的文件名。

9、自定義鏈使用

①自定義鏈添加：iptables -N web(鏈名) 創(chuàng)建鏈

②自定義鏈改名：iptabels -E web(原來名稱) (新名稱) 自定義鏈改名

③創(chuàng)建自定義鏈規(guī)則：iptables -t filter -I INPUT -p icmp -j REJECT 創(chuàng)建自定義規(guī)則

④iptabales創(chuàng)建對應自定義鏈規(guī)則跳轉(zhuǎn)：iptables -A INPUT -p icmp???-j WEB

iptables的INPUT鏈中添加一條對應到自定義鏈中才能生效

⑤刪除自定義規(guī)則鏈：先刪除iptables INPUT鏈中的對應關(guān)系，然后刪除自定義鏈中的規(guī)則。