安全技術和防火墻

安全技術
入侵檢測系統：特點是不阻斷網絡訪問，主要提供報警和事后監督 不主動介入 (監控)
入侵防御系統：透明模式工作 ，數據包,網絡監控,服務攻擊,木馬,蠕蟲,系統漏洞 等 進行準確的分析判斷
判斷為攻擊行為后會立即阻斷 主動防御（所有數據進入本機之前 必須要通過的設備或軟件）

防火墻：隔離 ，工作在網絡或者主機的邊緣
對網絡或主機的數據包基于一定的規則進行檢查
匹配到的規則 放行/拒絕(數據包會被丟棄)
只開放允許訪問的策略（白名單 拒絕所有，允許個別）
防水墻：防止內部信息泄露的產品 對外有防火墻的功能 對內是透明模式

防火墻：
iptables 是linux自帶的防火墻 一般用于內部配置 對外一般不適用，對外一般使用專業的
firewalld linux自帶防火墻 是 centos7以后的默認防火墻 功能和iptables一樣

都屬于包過濾防火墻（對數據包進行控制）
網絡層對數據包進行選擇 選擇依據是防火墻設置的策略
策略：ip地址 ，端口， 協議
優點:處理速度快 易于維護
缺點:無法檢查應用層數據 病毒無法進行處理

應用層防火墻：在應用層對數據進行檢查 比較安全
優點:更安全 ，問題可以精準定位
缺點:所有數據都會檢查 增加防火墻的負載

iptables:工作在網絡層 針對數據包實施過濾和限制，包過濾防火墻
通信的要素：五大要素/四大要素
五大要素：源ip 目的ip 源端口 目的端口 協議
四要素：源ip 目的ip 源端口 目的端口

內核態和用戶態：
內核態：涉及到軟件的底層代碼或系統的基層邏輯，以及一些硬件的編碼
數據如果是內核態處理 速度相對較快
iptables 的過濾規則就是由內核來進行控制

用戶態：
應用層軟件層面 人為控制的一系列操作，使用功能。
數據只通過用戶態處理，速度比較慢

iptables的配置和策略

四表五鏈

iptables 四個表

1.raw表 用于控制數據包的狀態，跟蹤數據包的狀態

2.mangle表 修改數據包的頭部信息

3.nat表 網絡地址轉換 可以改變數據包的源地址和目的地址

4.filter表 是iptables的默認表 默認是filter表 作用是過濾數據包 控制數據包的進出，以及接收和拒絕數據包。

五鏈
1.PREROUTING鏈 處理數據包進入本機之前的規則（NAT表）
2.INPUT鏈 處理數據包進入本機的規則（filter表 是否允許數據包進入）
3.output鏈 處理本機發出的數據包的規則 或是數據包離開本機的規則(filter表,一般不設置)
4.forward鏈 處理數據包轉發到其他主機的規則 或 是否允許本機進行數據包轉發
5.postrouting鏈 處理數據包離開本機之后的規則（NAT表）

優先級: Raw>Mangle>Nat>Filter
數據包進入防火墻，匹配raw表的規則—mangle的規則—nat表的規則—filter表的規則

iptables
管理選項：在表的鏈中 插入 增加 刪除 查看
匹配的條件 數據包的 ip地址，端口，協議
控制類型：允許，拒絕，丟棄

注意：
1.不指定表名 默認為filter表
2.不指定鏈名 默認為所有鏈
3.除非設置了鏈的默認策略，否則必須執行匹配條件
4.選項，鏈名和控制類型 基本都是大寫其余都是小寫

控制類型：

ACCEPT 允許數據包通過
DROP 直接丟棄數據包 沒有任何回應信息
REJECT 拒絕數據包通過 數據包也會被丟棄 但會有一個響應信息
SNAT 修改數據包的源地址
DNAT 修改數據包的目的地址

管理選項：

-t指定表名
-A 在鏈尾添加一條規則
-I 可以指定位置插入一條規則
-P 指定鏈的默認規則 iptables默認是允許
-D刪除規則
-R 修改規則(慎用)
-vnL v顯示詳細 n數字形式展示內容 L查看
–line-numbers 顯示規則的編號 和查看一起使用
-F 清空鏈中的所有規則(慎用)
-X 清除自定義鏈的規則

匹配條件：

-p 指定協議類型
-s 指定匹配的源ip地址
-d 指定匹配的目的ip地址
-i 指定數據包進入本機的網絡設備
-o 指定數據包離開本機的網絡設備
–sport 指定源端口
–dport指定目的端口

iptables命令格式
iptables [-t 表名] 管理選項 鏈名 匹配條件 [-j 控制類型]
所有的控制類型前面都是 -j
匹配原則
每個鏈中的規則都是從上到下的順序匹配 匹配到之后不再向下匹配
如果鏈中沒有規則 則執行鏈的默認策略