linux的防火墙(linux 的防火墙)
linux的防火墻有什么作用?
linux防火墻作用一:
1、防火墻的基本模型
2、不應(yīng)該過(guò)濾的包
3、針對(duì)可能的網(wǎng)絡(luò)攻擊
linux防火墻作用二:
它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
linux防火墻作用三:
windows防火墻是一項(xiàng)協(xié)助確保信息安全的設(shè)備,會(huì)依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。
具體作用如下:
1、防止來(lái)自網(wǎng)絡(luò)上的惡意攻擊;
2、阻止外來(lái)程序連接計(jì)算機(jī)端口;
3、對(duì)電腦進(jìn)行防護(hù),防止木馬入侵或其它黑客軟件、程序運(yùn)行‘
4、阻止本地程序通過(guò)計(jì)算機(jī)端口,向外并發(fā)信息;
linux防火墻發(fā)展史?
1. 認(rèn)識(shí)防火墻
從邏輯上講防火墻可以分為主機(jī)防火墻和網(wǎng)絡(luò)防護(hù)墻。
主機(jī)防火墻:針對(duì)個(gè)別主機(jī)對(duì)出站入站的數(shù)據(jù)包進(jìn)行過(guò)濾。(操作對(duì)象為個(gè)體)
網(wǎng)絡(luò)防火墻:處于網(wǎng)絡(luò)邊緣,針對(duì)網(wǎng)絡(luò)入口進(jìn)行防護(hù)。(操作對(duì)象為整體)
從物理上講防火墻可以分為硬件防火墻和軟件防火墻。
硬件防火墻:通過(guò)硬件層面實(shí)現(xiàn)防火墻的功能,性能高,成本高。
軟件防火墻:通過(guò)應(yīng)用軟件實(shí)現(xiàn)防火墻的功能,性能低,成本低。
2. 系統(tǒng)防火墻發(fā)展過(guò)程
防火墻的發(fā)展史就是從墻到鏈再到表,也是從簡(jiǎn)單到復(fù)雜的過(guò)程。
防火墻工具變化如下:
ipfirewall--->ipchains--->iptables-->nftables(正在推廣)
Linux 2.0版內(nèi)核中:包過(guò)濾機(jī)制為ipfw,管理工具是ipfwadm。
Linux 2.2版內(nèi)核中:包過(guò)濾機(jī)制為ipchain,管理工具是ipchains。
Linux 2.4,2.6,3.0+版內(nèi)核中:包過(guò)濾機(jī)制為netfilter,管理工具是iptables。
Linux 3.1(3.13+)版內(nèi)核中:包過(guò)濾機(jī)制為netfilter,中間采取daemon動(dòng)態(tài)管理防火墻,管理工具是firewalld。
# 目前低版本的firewalld通過(guò)調(diào)用iptables(command),它可以支持老的iptables規(guī)則(在firewalld里面叫做直接規(guī)則),
# 同時(shí)firewalld兼顧了iptables,ebtables,ip6tables的功能。
3. iptables和nftables
nftables
nftables誕生于2008年,2013年底合并到Linux內(nèi)核,從 Linux 3.13起開始作為iptables的替代品提供給用戶。
它是新的數(shù)據(jù)包分類框架,新的linux防火墻管理程序,旨在替代現(xiàn)存的 {ip,ip6,arp,eb}_tables,它的用戶空間管理工具是nft。
由于iptables的一些缺陷,目前正在慢慢過(guò)渡用nftables替換iptables,同時(shí)由于這個(gè)新的框架的兼容性,
所以nftables也支持在這個(gè)框架上運(yùn)行直接iptables這個(gè)用戶空間的管理工具。
nftables實(shí)現(xiàn)了一組被稱為表達(dá)式的指令,可通過(guò)在寄存器中儲(chǔ)存和加載來(lái)交換數(shù)據(jù)。
也就是說(shuō),nftables的核心可視為一個(gè)虛擬機(jī),nftables的前端工具nft可以利用內(nèi)核提供的表達(dá)式去模擬舊的iptables匹配,
維持兼容性的同時(shí)獲得更大的靈活性。
而未來(lái)最新的firewalld(0.8.0)默認(rèn)使用將使用nftables。詳情可以看www.firewalld.org
iptables、nftables和firewalld之間的區(qū)別與聯(lián)系
firewalld同時(shí)支持iptables和nftables,未來(lái)最新版本(0.8.0)默認(rèn)將使用nftables。
簡(jiǎn)單的說(shuō)firewalld是基于nftfilter防火墻的用戶界面工具。而iptables和nftables是命令行工具。
firewalld引入?yún)^(qū)域的概念,可以動(dòng)態(tài)配置,讓防火墻配置及使用變得簡(jiǎn)便。
準(zhǔn)確的說(shuō):iptables(command)的最底層是netfilter,它的用戶空間管理工具是iptables
nftables(command)是iptables(command) 的一個(gè)替代品并兼容iptables(command),最底層依然是netfilter,它的用戶空間管理工具是nft,
同時(shí)未來(lái)firewalld最新版(0.8.0)也將默認(rèn)支持nftables(command)。https://firewalld.org/
iptables會(huì)把配置好的防火墻策略交給內(nèi)核層的netfilter網(wǎng)絡(luò)過(guò)濾器來(lái)處理
firewalld會(huì)把配置好的防火墻策略交給內(nèi)核層的nftables包過(guò)濾框架來(lái)處理
下圖為iptables、firewalld、nftables之間的關(guān)系圖:
?
4. centos6.X到centos7.X
centos6.X:防火墻由netfilter和iptables構(gòu)成。其中iptables用于制定規(guī)則,又被稱為防火墻的用戶態(tài);
而netfilter實(shí)現(xiàn)防火墻的具體功能,又被稱為內(nèi)核態(tài)。簡(jiǎn)單地講,iptables制定規(guī)則,而netfilter執(zhí)行規(guī)則。
centos7.X:防火墻在6.X防火墻的基礎(chǔ)之上提出了新的防火墻管理工具,提出了區(qū)域的概念,通過(guò)區(qū)域定義網(wǎng)絡(luò)鏈接以及安全等級(jí)。
5.怎樣學(xué)好防火墻的配置?
1)OSI7層模型以及不同層對(duì)應(yīng)哪些協(xié)議必須很熟悉 # 基礎(chǔ)必備
2)TCP/IP三次握手,四次斷開的過(guò)程,TCP HEADER,狀態(tài)轉(zhuǎn)換 # 基礎(chǔ)必備
3)常用的服務(wù)端口要非常清楚了解。 # 基礎(chǔ)必備
4)常用服務(wù)協(xié)議的原理,特別是http協(xié)議,icmp協(xié)議。 # 基礎(chǔ)必備
5)能夠熟練的利用tcpdump和wireshark進(jìn)行抓包并分析,這樣會(huì)更好 # 拓展
6)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)有研究,至少基本路由交換要很熟悉 # 拓展
6、企業(yè)中安全配置原則
盡可能不給服務(wù)器配置外網(wǎng)IP,可以通過(guò)代理轉(zhuǎn)發(fā)或者通過(guò)防火墻映射。
并發(fā)不是特別大情況有外網(wǎng)IP,可以開啟防火墻服務(wù)。
大并發(fā)的情況,不能開iptables,影響性能,利用硬件防火墻提升架構(gòu)安全。
用ssh工具關(guān)閉linux系統(tǒng)的防火墻?
一: DenyHosts,當(dāng)你的linux服務(wù)器暴露在外網(wǎng)當(dāng)中時(shí),服務(wù)器就極有可能會(huì)遭到互聯(lián)網(wǎng)上的掃描軟件進(jìn)行掃描,然后試圖連接ssh端口進(jìn)行暴力破解(窮舉掃描)。DenyHosts是用Python寫的一個(gè)程序,它會(huì)分析SSHD的日志文件(Redhat為/var/log/secure等),當(dāng)發(fā)現(xiàn)同一IP在進(jìn)行多次SSH密碼嘗試時(shí)就會(huì)記錄IP到/etc/hosts.deny文件,從而達(dá)到自動(dòng)屏蔽該IP的目的。
二:收集 /var/log/secure 里面的信息,若是某個(gè)IP 鏈接次數(shù)超過(guò)一定次數(shù) ,則把此ip記錄到/etc/hosts.deny里面。通過(guò)crontab來(lái)執(zhí)行,每分鐘執(zhí)行一次。
三:將默認(rèn)端口22修改為自定義的2020端口,在防火墻中加入2020端口的策略,重啟防火墻策略,sshd服務(wù)
linux如何關(guān)閉防火墻?
rhel6關(guān)閉防火墻的方法為:service iptables status 查看當(dāng)前防火墻狀態(tài)1. 永久性生效開啟:chkconfig iptables on關(guān)閉:chkconfig iptables off2. 即時(shí)生效,重啟后失效開啟:service iptables start關(guān)閉:service iptables stoprhel7關(guān)閉防火墻的方法為:systemctl status firewalld 查看當(dāng)前防火墻狀態(tài)1. 永久性生效開啟:systemctl enable firewalld關(guān)閉:systemctl disable firewalld2. 即時(shí)生效,重啟后失效開啟:systemctl start firewalld關(guān)閉:systemctl stop firewalld
linux怎么永久關(guān)閉防火墻?
1) 重啟后生效 開啟: chkconfig iptables on 關(guān)閉: chkconfig iptables off 2) 即時(shí)生效,重啟后失效 開啟: service iptables start 關(guān)閉: service iptables stop 需要說(shuō)明的是對(duì)于Linux下的其它服務(wù)都可以用以上命令執(zhí)行開啟和關(guān)閉操作。 在開啟了防火墻時(shí),做如下設(shè)置,開啟相關(guān)端口, 修改/etc/sysconfig/iptables 文件,添加以下內(nèi)容: -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
總結(jié)
以上是生活随笔為你收集整理的linux的防火墙(linux 的防火墙)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Linux系统下与终端相关的命令
- 下一篇: MacBook/MacOS如何写入Mac