六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 網(wǎng)絡(luò)安全知識 > 防火墻Firewall設(shè)置方法

防火墻Firewall設(shè)置方法

時間: 權(quán)威724 分享

防火墻Firewall設(shè)置方法

  Firewall 防火墻,工作在網(wǎng)絡(luò)或主機的邊緣,對進出本網(wǎng)絡(luò)或主機的數(shù)據(jù)包根據(jù)事先設(shè)置好的規(guī)則進行檢查并且能夠在數(shù)據(jù)包匹配到之后由預(yù)置的動作進行處理的組件的組合,有規(guī)則(符合條件,就有規(guī)則指定的動作進行處理),下面是小編整理的相關(guān)知識!

  主機防火墻:管理本主機;

  網(wǎng)絡(luò)防火墻:管理整個網(wǎng)絡(luò);

  防火墻的分類:

  1、包過濾型防火墻:工作在TCP/IP層,根據(jù)tcp首部或ip首部數(shù)據(jù)進行判斷,安全性較

  低,效率較高;

  1、簡單包過濾;

  2、帶狀態(tài)檢測的包過濾;

  1)NEW狀態(tài);-建立連接;

  2)ESTABLISHED狀態(tài);-建立連接并傳輸數(shù)據(jù);

  3)INVALID狀態(tài)(無法識別的狀態(tài));

  4)RELATED(相關(guān)聯(lián)的狀態(tài));

  2、應(yīng)用層網(wǎng)關(guān)防火墻:工作在應(yīng)用層,根據(jù)數(shù)據(jù)包傳輸?shù)膶嶋H數(shù)據(jù)進行判斷,安全性較高,效率較低;

  防火墻工作在內(nèi)核空間,需要在內(nèi)核空間開口子去定義規(guī)則(只有管理員可以定義規(guī)則,命令是否正確等),在內(nèi)核上開的口子稱為Netfilter(網(wǎng)絡(luò)過濾器);

  地址轉(zhuǎn)換功能:NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換;

  1)SNAT 源網(wǎng)絡(luò)地址轉(zhuǎn)換;在POSTROUTING上做轉(zhuǎn)換;

  連接跟蹤;

  2)DNAT目標(biāo)地址轉(zhuǎn)換;在PREROUTING上做轉(zhuǎn)換;

  mangle 數(shù)據(jù)包每經(jīng)過一次路由減1然后將ip首部打開修改TTL值加1,讓訪問用戶不知

  道有防火墻;

  raw----沒多做解釋;

  filter過濾在INPUT,OUTPUT和FORWARD接口上;

  nat地址轉(zhuǎn)換在PREROUTING,POSTROUTING,OUTPUT接口上;

  mangle撕裂在PREROUTING,INPUT,F(xiàn)ORWARD,OUTPUT,POSTROUTING接口上;

  raw在PREOUTING和OUTPUT接口上;

  優(yōu)先級排序:raw--->mangle--->nat--->filter

  iptables命令用法:

  iptables [-t TABLE] COMMAND CHAIN [creteria] -j ACTION

  -t {raw|mangle|nat|filter},默認filter

  COMMAND的分類:

  規(guī)則管理類:

  -A 追加到最后一條(append);

  -I # 插入第幾條(insert);

  -D # 表示刪除第幾條(delete);

  -R # 表示替換某條規(guī)則;

  鏈接管理類:

  -F 清空(flush)鏈中規(guī)則,加鏈表示清空某條鏈;

  -N 新建鏈(new),可以用-j跳轉(zhuǎn)到這個鏈上;

  -X 刪除自己定義的空鏈;

  -E 重命名(rename);

  默認策略:

  -P (policy);

  清空計數(shù)器:

  -Z (zero);

  每條規(guī)則(包括默認策略)都有兩個計算器;

  1)被此規(guī)則匹配到的所有數(shù)據(jù)包的個數(shù);

  2)被此規(guī)則匹配到的所有數(shù)據(jù)包的大小之和;

  查看類:

  -L (list)列表的格式顯示;

  -L的子選項:-n (以純數(shù)字的格式顯示numeric);

  -v 詳細的信息(verbose),-vv或-vvv更詳細;

  -x 顯示精確信息不做單位換算(exactly);

  --line-numbers 規(guī)則顯示行號;

  匹配條件creteria:

  基本匹配:

  -s SOURCE:(IP,NETWORK)或加!表示取反(例:! -s NETWORK);(可以省略表示多有主機)

  -d DESTIONIP(目標(biāo)地址);

  -p {tcp|udp|icmp};

  -i INTERFACE 表示從哪個網(wǎng)卡流進來;(僅用于INPUT,FORWARD,POSTROUTING)

  -o INTERFACE 表示從哪個網(wǎng)卡流出去;(僅用于OUTPUT,FORWARD,PRETROUTING)

  擴展匹配:指的是調(diào)用iptables的模塊,以便擴展iptables的匹配功能;

  隱含擴展

  -p tcp

  --sport PORT

  --dport PORT

  --tcp-flags 檢查tcp的標(biāo)志位;

  只檢查ACK,SYN,RST,FIN

  SYN的簡寫--syn

  -p udp

  --sport PORT

  --dport PORT

  -p icmp

  --icmp-type

  ping命令的TYPE:

  echo-request請求用8代替; www.jb51.net

  echo-reply 回應(yīng)用0代替;

  3----自己查看TCP/IP詳解書;

  顯示擴展(必須用-m指定檢測狀態(tài));

  -m state --state 檢測狀態(tài)

  -m multiport這個模塊匹配一組源或目標(biāo)端口,可以指定多達15個端口;

  --source-ports 22,53,80

  --destination-ports 22,53,80

  --ports 22,53,80

  -m iprange(指定ip范圍)

  --src-range ip-ip

  --dst-range ip-ip

  -m connlimit(并發(fā)連接限定)

  --connlimit-above # (超過#個)

  -m limit

  --limit rate 限定速率;

  --limit-burst number 限定峰值;

  -m string 字符串匹配;

  --algo bm|kmp(算法);

  --string “STRING”

  -m time 時間限制;

  --timestart value(10:00);

  --timestop value

  --days lsitofday

  --datestart date

  --datestop date

  -j ACTION(ACTION的選項);

  ACCEPT 允許;

  DROP 拒絕(悄悄的丟棄);

  REJECT 拒絕(直接拒絕);

  SNAT 源地址轉(zhuǎn)換;

  DNAT 目標(biāo)地址轉(zhuǎn)換;

  REDIRECT 重定向端口;

  RETURN 返回INPUT鏈;

  如何開放FTP服務(wù):

  主動模式下:

  tcp 20(數(shù)據(jù)),21(命令);

  被動模式下:

  tcp 21,>1023的端口;

  上述需要將RELATED(相關(guān)聯(lián)的狀態(tài))打開;

  modprobe ip_nat_ftp

  lsmod | grep tcp

  redhat中iptables的腳本文件為/etc/rc.d/init.d/iptables

  service iptables start 啟用保存的規(guī)則;

  service iptables stop 清空鏈;

  /etc/sysconfig/iptables 保存規(guī)則的文件;

  /etc/sysconfig/iptables-config 向iptables腳本提供配置文件的文件;

  將規(guī)則保存到配置文件中的方法:

  1)service iptables save 將規(guī)則保存到配置文件中的命令;

  2)iptables-save > /etc/sysconfig/iptables-test (將生效的規(guī)則保存至自己指定文件中);

  iptables-restore < /etc/sysconfig/iptables-test (從另外自己指定的規(guī)則文件啟用規(guī)則);

  地址轉(zhuǎn)換:

  源地址轉(zhuǎn)換:

  -j SNAT --to-source 192.168.100.1 指定源地址轉(zhuǎn)換成其它地址;

  -j MASQUERADE(地址偽裝,比SNAT占用更多的資源,當(dāng)ADSL撥號上網(wǎng)做轉(zhuǎn)換時比較常用);

  目標(biāo)地址轉(zhuǎn)換:一般要限定協(xié)議和端口;

  -j DNAT --to-destination 192.168.100.2

  PNAT端口轉(zhuǎn)換:

  -j DNAT --to-destination 192.168.100.2[:port]請求的和轉(zhuǎn)發(fā)的相同可省略,不相

  同不省略;

  -j LOG 轉(zhuǎn)發(fā)日志;

  --log-prefix “DNAT for web”可以與-m limit --limit 3/minute --limit-burst 3合用;

  利用iptables的recent模塊來抵御DOS攻擊;(以拒絕服務(wù)的方式實現(xiàn),很有限)

  -m recent

  --set --name SSH

  --update --seconds 300 --hitcount 3

  利用iptables的recent模塊來抵御DOS攻擊示例;

  ssh: 遠程連接,

  iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP

  iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH

  iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP

  1.利用connlimit模塊將單IP的并發(fā)設(shè)置為3,會誤殺使用NAT上網(wǎng)的用戶,可以根據(jù)實際情況增大該值;

  2.利用recent和state模塊限制單IP在300s內(nèi)只能與本機建立3個新連接,被限制一分鐘后即可恢復(fù)訪問;

  下面對最后兩句做一個說明:

  1.第一句是記錄訪問tcp 22端口的新連接,記錄名稱為SSH;

  --set 記錄數(shù)據(jù)包的來源IP,如果IP已經(jīng)存在將更新已經(jīng)存在的條目;

  2.第三句是指SSH記錄中的IP,300s內(nèi)發(fā)起超過3次連接則拒絕此IP的連接;

  --update 是指每次建立連接都更新列表;

  --seconds必須與--rcheck或者--update同時使用;

  --hitcount必須與--rcheck或者--update同時使用;

  3.iptables的記錄:/proc/net/ipt_recent/SSH

513845