Linux安全技术与防火墙

Source

一、安全技术和防火墙
1.1 安全技术
入侵检测系统:特点是不阻断网络访问,主要是提供报警和时候报警,不主动介入。

入侵防御系统:透明模式工作,对数据包、网络监控、服务攻击、木马蠕虫、系统漏洞等等进行准确的分析和判断。在判定为攻击行为后会立即阻断,主动防御。所有数据在进入本机之前,必须要通过的设备或软件。

防火墙:核心功能:隔离,工作在网络或者主机的边缘,一般在Internet和内网之间。对网络或者主机的数据包基于一定的规则进行检查,根据匹配到的规则放行或拒绝(丢弃数据包)。

只开放允许访问的策略。(白名单机制,拒绝所有,允许个别。)

防水墙:是一种防止内部信息泄露的产品。对外有防火墙的功能,对内是透明模式工作,类似于监控。

 1.2 防火墙
iptables :这个linux自带的防火墙,一般用于内部配置。对外一般不适用(对外都使用专业的)。

firewalld :CentOS7以后默认的防火墙。功能和iptables大体一致。

ufw :是ubantu自带的防火墙,ubantu也有iptables,功能也一致

iptables ufw 和 firewalld都是包过滤防火墙,对数据包进行控制。在网络层对数据包进行选择,选择的依据是防火墙设置的策略。

策略:IP地址,端口,协议。

优点:处理速度快,利于维护。

缺点:无法检查应用层数据,无法对病毒进行处理。

  1. 应用层防火墙:在应用层对数据进行检查,比较安全。

​ 优点:相对更安全,可以精准定位问题。

​ 缺点:所有数据都要检查,会增加防火墙的负载。

  2.iptables防火墙

iptables防火墙工作在网络层,针对数据包实施过滤和限制,属于包过滤防火墙

1.3 内核态和用户态
内核态

涉及到软件的底层代码或者是系统的基层逻辑,以及一些硬件的编码。相对比较复杂,开发人员更关注内核态。

如果数据是内核态处理的,处理速度相对较快。

iptables的过滤规则就是由内核来进行控制的。

用户态

应用层软件层面,多是人为控制的一系列操作,使用功能等。

运维人员一般只考虑用户态。

数据只通过用户态处理,速度相对较慢。

二、iptables防火墙
iptables的配置和策略

2.1 四表五链
iptables的四表:

1.Raw表 :用于控制数据包的状态,可以跟踪数据包的状态

2.Mangle表 :用于修改数据包的头部信息

3.Nat表 :用于网络地址转换,可以改变数据包的源地址和目的地址

4.Filter表 :也是iptables的默认表,不做声明时,默认就是filter表,过滤数据包的进出,以及接收和拒绝数据包

iptables的五链:

PREROUTING链 :处理数据包进入本机之前的规则(路由前)(Nat表)

INPUT链 :处理数据包进入本机的规则(Filter表,是否允许数据包进入)

OUTPUT链 :处理本机发出的数据包的规则,或者是数据包离开本机的规则(Filter表,是否允许数据包发出,一般不做设置)

FORWARD链 :处理数据包转发到其他主机的规则,或者是否允许本机进行数据包转发

POSTROUTING链 :处理数据包离开本机之后的规则(路由后)(Nat表)

通俗的说法:表里面有链,链里面有规则。

四表的优先级

Raw > Mangle > Nat > Filter,匹配规则由高到低。

2.2 数据流向
例:数据转发的过程
按优先级高低查四表里的链,并匹配链里的规则

查PREROUTING链和POSTROUTING链查看地址变换规则,

查FORWARD链是否允许转发,以及转发的具体规则。

例:请求响应的过程(http https服务等)
按优先级高低查四表里的链,并匹配链里的规则

请求:查INPUT链的规则:是否允许该地址或者端口访问web服务。若拒绝,数据包将直接丢弃

响应:查OUTPUT链的规则:是否允许响应,一般不做约束。如拒绝,响应的数据包也被丢弃
 2.3 iptables命令

管理选项 :在表的链中插入、增加、删除、查看规则。

匹配的条件 :数据包的IP地址、端口、协议。

控制类型 :允许,拒绝,丢弃,地址转换。

注意事项

  1. 不指定表名的话,默认指的是filter
  2. 不指定链名的话,默认指的是所有链(此乃禁止行为!)
  3. 除非设置了链的默认策略,否则必须指定匹配条件(一般都要指定匹配条件)
  4. 大部分选项、所有的链名和控制类型都是大写

2.3.1 控制类型
ACCEPT :允许数据包通过

DROP :直接丢弃数据包,且没有任何回应信息

REJECT :拒绝数据包通过,数据包也会被丢弃,但是会有响应的信息

SNAT :修改数据包的源地址(source)

DNAT :修改数据包的目的地址(destination)
 

2.3.2 常用管理选项
-A :在链中添加一条规则,在链尾添加。

-I :指定位置插入一条规则。

-P :默认指定规则,链的规则一般都是设置成拒绝(默认是允许)

-D :删除规则

-R :修改规则(慎用)

-vnL :-v显示详细信息,-n数字形式展示内容,-L查看

--line-numbers :显示规则的编号,一般和查看一起使用

-F :清空链中的所有规则(慎用)

-X :清除自定义链中的规则
 

2.3.3 常用匹配条件
-p :指定协议类型

-s :指定匹配的源IP地址

-d :指定匹配的目的IP地址

-i :指定数据包进入本机的网络设备(指定网卡设备,如ens33)

-o :指定数据包离开本机的网络设备

--sport :指定源端口

--dprot :指定目的端口

-m :使用扩展模块,扩展模块的使用方法在2.4内容中有介绍
 2.3.4 iptables的命令格式 

注意事项

  1. [-t 表名]不指定时默认指定filter
  2. [-j 控制类型],所有控制都要在前面 -j
  3. 需要先安装iptablesiptables-services,安装完成后启动并enable服务iptables
  4. 命令立即生效,不需要重启服务,重启服务会恢复默认策略
2.3.5 iptables匹配原则
  1. 每个链中的规则都是从上到下的顺序依次匹配,匹配到之后就不再向下匹配。
  2. 如果链中没有规则,则执行链的默认策略进行处理。
2.4 iptables实例

例:插入规则

拒绝所有主机来ping本机

在上一行后再添加一行

在第一行插入规则

指定源IP地址20.0.0.20进行控制

对多个源IP地址时,用逗号隔开

指定端口,端口要写在协议后面

拒绝指定IP20.0.0.20通过ssh服务远程登录主机

拒绝指定IP20.0.0.20获取本机的web服务

2.5 iptables的备份和保存
​ iptables 的配置文件保存在 /etc/sysconfig/iptables,每次重启服务都会重新读取配置文件里的规则

也可以通过iptables-save把当前防火墙配置保存在文件中,每次需要读取这个配置时通过iptables-restore命令获取配置,这个获取配置也是临时生效。可以配合脚本在系统启动时自动加载配置
 

2.6 iptables自定义链

创建自定义链

修改自定义链名

删除自定义链

2.7 地址转换
2.7.1 snat和dnat
snat :源地址转换

内网—外网 :内网IP转换成可以访问外网的IP

内网的多个主机可以只有一个有效的公网IP地址访问外部网络

dnat :目的地址转换

外部用户,可以通过一个公网地址访问服务器内部的私网服务。

私网的IP和公网的IP做一个映射。
 

2.7.2 实验
1、test1 :20.0.0.10 ,nginx服务

2、test2 :两个网卡设备:

      ens33:20.0.0.254(私网的网关)
      ens36:12.0.0.254(用来模拟test3的地址是公网地址)
    模拟test1的公网IP :10.0.0.10(test1的地址转换成10.0.0.10和test3进行通信)
3、test3 :12.0.0.10 ,nginx服务

要求:在test2上配置防火墙,使test1作为私网地址,test3作为公网地址,观察双方获取对方web服务时,/var/log/nginx/access.log中记录的访问主机地址,理解NAT的工作方式。

对test1,test2,test3的IP地址分别设置。其中test2两个网卡的IP地址分别作为test1和test3的网关地址。

对test2:

Linux 内核参数的配置文件/etc/sysctl.conf

源地址转换:

  • -t nat :指定表为nat表
  • -A POSTROUTING :添加规则到链
  • -s 20.0.0.0/24 :指定网段
  • -o :指定输出设备
  • -j SNAT :指定控制参数SNAT
  • --to 10.0.0.10 :20.0.0.0/24网段的源地址转换为10.0.0.10这个公网IP地址

目的地址转换:

-d 10.0.0.10 :指定作为目的地址转换的IP地址
-i :从指定设备进入本机
-p :指定协议
--dport :指定端口
-j DNAT :使用目的地址转换
--to 20.0.0.10:80 :外网想要访问内网的20.0.0.10:80(端口号80也可以不加)的web服务,只需要访问公网的10.0.0.10这个IP地址。

2.7.3 tcpdump抓包工具

tcpdump是Linux系统自带的抓包工具。

固定抓包:

tcp :指定抓包的协议,这个位置是第一个参数,也可以不指定
-i :只抓经过指定设备的包
-t :不显示时间戳(可以不加)
-s0 :抓取完整的数据包
-c 10 :抓几个数据包(10就是抓10个包)
dst port :指定抓包的目的端口
src net :指定抓包的IP网段,如果要指定主机把net改成host
-w :保存结果到指定文件


  动态抓包:

 

 一般把抓包的记录保存在.cap文件,导出到Windows系统用wireshark之类的抓包软件分析。需要注意的是,使用wireshark分析,需要tcpdump指定选项-s0获取抓包的完整格式。