安全技术和防火墙

安全技术和防火墙

安全技术

入侵检测系统:特点是不阻断网络访问,主要提供报警和事后监督,不主动介入,默默看着你(监控)
入侵防御系统:透明模式工作,数据包,网络监控,服务攻击,木马,蠕虫,系统漏洞等等进行准确的分析和判断。
在判定为攻击行为后会立即阻断。主动的防御(所有的数据在进入本机之前,必须要通过的设备或者软件)

防火墙:隔离,工作在网络或者主机边缘。
对网络或者主机的数据包基于一定的规则进行检查。匹配到的规则
放行,拒绝(数据包将会被丢弃)
只开放允许访问的策略。(白名单机制,拒绝所有,允许个别)
防水墙:是一种防止内部信息泄露的产品。对外有防火墙的功能,对内是透明模式工作,类似监控
事前,事中,事后都知道。

防火墙:
iptables 这个Linux自带的防火墙,一般用于内部配置。对外一般不适用(对外都使用专业的)
firewalld Linux自带的防火墙,centos7之后的防火墙。
功能:包过滤防火墙(对数据包进行控制)
特点:工作在网络层对数据包进行选择,选择的依据就是你设置的防火墙的策略。
策略:ip地址,端口,协议
优点:处理速度快,易于维护
缺点:无法检查应用层数据,病毒无法进行处理。

应用层防火墙:在应用层对数据进行检查,比较安全
优点:更安全,精准定位问题
缺点:所有数据都会检查,增加防火墙的负载。

iptables:工作在网络层,针对数据包实施过滤和限制。包过滤防火墙

面试:通信的要素?
五大要素:源ip、目的ip、源端口、目的端口、协议(TCP/UDP)
四大要素:源ip、目的ip、源端口、目的端口

内核态和用户态:
**内核态:**设计到软件的底层代码或者是系统的基础逻辑,以及一些硬件的编码。(一般开发人员关注内核态)
如果数据是内核态处理,速度相对较快。
iptables的过滤规则就是内核来进行控制的
**用户态:**应用层软件层面,人为控制的一系列操作,使用功能。(运维人员只考虑用户态)
数据只通过用户态处理,速度比较慢。

面试:

iptables的配置和策略:
四表五链:
iptables的四个表
raw表:控制数据包的状态,可以跟踪数据包的状态。
mangle表:可以用来修改数据包的头部信息,
NAT表:网络地址转换,可以改变数据包的源地址和目的地址
filter表:也是iptables表的默认表,不做声明,默认就是filter表,过滤数据包,控制数据包的进出,以及接受和拒绝数据包。

在这里插入图片描述

在这里插入图片描述

五链:
PREROUTING链:处理数据包进入本机之前的规则(NAT表)
INPUT链:处理数据包进入本机的规则(filter表,是否允许数据包进入)
output链:处理本机发出的数据包的规则,或者是数据包离开本机的规则(filter表,一般不设置)
forward链:处理数据包转发到其他主机的规则,或者是否允许本机进行数据包转发。
postrouting链:处理数据包离开本机之后的规则。(NAT表)
表里面有链,链里面有规则。

iptables的设置及其命令:

管理选项:在表的链中,插入、增加、删除、查看规则
匹配条件:数据包的ip地址,端口,协议。
控制类型:允许,拒绝,丢弃。
注意事项:
1、不指定表名,默认就是filter表
2、不指定链名,默认就是所有链(禁止行为)
3、除非设置了链的默认策略,否则必须执行匹配条件(一般都是指定匹配条件)
4、选项,链名和控制类型都是大写,其余的全是小写

控制类型:
ACCEPT:允许数据包通过
DROP:直接丢弃数据包,没有任何回应信息
REJECT:拒绝数据包通过,数据包也会被丢弃,但是会有一个响应的信息。
SNAT:修改数据包的源地址
DNAT:修改数据包的目的地址

管理选项:
-t 指定表名
-A 在链中添加一条规则,在链尾添加。
-I 指定位置插入一条规则。
-P 指定链的默认规则 链的规则一般都是设置成拒绝(默认允许)
-D 删除规则
-R 修改规则(慎用)
-vnL v显示详细信息 n 以数字形式展示内容 L 查看
–line-numbers 显示规则的编号,和查看一起使用
-F 清空链中的所有规则(慎用)
-x 清除自定义链中的规则

匹配条件
-p 指定协议类型
-s 指定匹配的源IP地址
-d 指定匹配的目的IP地址
-i 指定数据包进入本机的网络设备(ens33 网卡)
-o 指定数据包离开本机的网络设备
–sport 指定源端口
–dport 指定目的端口

iptables命令格式:
iptables [-t 表名] 管理选项 链名(大写) 匹配条件 [-j 控制类型]

所有的控制类型前面都是-j
匹配规则:
每个链中规则都是从上到下的顺序匹配,匹配到之后就不再向下匹配
如果链中没有规则,则执行链的默认策略进行处理

[root@test2 626]# iptables -L
[root@test2 626]# #添加规则
[root@test2 626]# iptables -A INPUT -p icmp -j REJECT   #拒绝其他所有主机ping本机
[root@test2 626]# iptables -A INPUT -s 192.168.11.138  -p icmp -j REJECT     #有去无回
[root@test2 626]# iptables -A INPUT -s 192.168.11.138,192.168.11.136  -p icmp -j DROP  #直接丢弃
[root@test2 626]# #指定端口
[root@test2 626]# #iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@test2 626]# iptables -A INPUT -s 192.168.11.138  -p tcp --dport 22  -j REJECT                  #拒绝192.168.11.138以22端口访问我
[root@test2 626]# iptables -A INPUT -s 192.168.11.138  -p tcp --dport 80  -j REJECT                  #关闭nginx服务禁止192.168.11.138访问[root@test2 626]# #删除规则
[root@test2 626]# iptables -vnL --line-numbers  #查看规则条目
[root@test2 626]# iptables -D INPUT 3   #删除第三条规则,删除按照序号[root@test2 626]# #修改策略   
[root@test2 626]# iptables -R INPUT 1 -s 192.168.11.138 -p tcp --dport 80 -j REJECT
#确定需要修改的是第 1 条策略标注之后,直接修改成需要的内容,此过程是覆盖[root@test2 626]# #修改链的默认策略
[root@test2 626]# #iptables -P INPUT DROP      #生产环境不要操作!!!![root@test2 626]# #网络设备:
[root@test2 ~]# iptables -A INPUT -i ens33 -s 192.168.11.138 -p tcp --dport 80 -j REJECT[root@test2 626]# #禁止网段
[root@test2 626]# iptables -A INPUT -s 192.168.11.0/24 -p tcp --dport 80 -j REJECT[root@test2 626]# #插入规则
[root@test2 626]# iptables -I INPUT 1 -s 192.168.11.110 -p tcp --dport 80 -j REJECT[root@test2 626]# #一次性禁止多个端口
[root@test2 626]# #一次性多个端口进行操作
[root@test2 626]# iptables -A INPUT -p tcp --dport 80:3306 -j REJECT    
#拒绝所有访问  一次只能禁用两个端口[root@test2 626]# #-m 扩展模块 一次性禁止多个端口,可以匹配ip范围,指定Mac地址
#禁止多端口
[root@test2 626]# iptables -A INPUT -p tcp -m multiport --dport 80,21,22,53,3306 -j REJECT
#禁止地址池   协议在前  ip在后
[root@test2 626]# iptables -A INPUT -p tcp -m iprange --src-range 192.168.11.138-192.168.11.140 --dport 80 -j REJECT
[root@test2 626]# #--src-range  #源地址池
[root@test2 626]# #--dst-range  #目的地址池
[root@test2 626]# #-m multport --sport #源端口池
[root@test2 626]# #-m multport --dport #目的端口池
[root@test2 626]# #-m iprange --src-range  #源端口池
[root@test2 626]# #-m iprange --dst-range  #目的地端口池

#源端口池
[root@test2 626]# #-m multport --dport #目的端口池
[root@test2 626]# #-m iprange --src-range #源端口池
[root@test2 626]# #-m iprange --dst-range #目的地端口池


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/361279.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python22 Pandas库

Pandas 是一个Python数据分析库,它提供了高性能、易于使用的数据结构和数据分析工具。这个库适用于处理和分析输入数据,常见于统计分析、金融分析、社会科学研究等领域。 1.Pandas的核心功能 Pandas 库的核心功能包括: 1.数据结构&#xff…

YIA主题侧边栏如何添加3D旋转标签云?

WordPress站点侧边栏默认的标签云排版很一般,而3D旋转标签云就比较酷炫了。下面boke112百科就以YIA主题为例,跟大家说一说如何将默认的标签云修改成3D旋转标签云,具体步骤如下: 1、点此下载3d标签云文件(密码&#xf…

ardupilot开发 --- 视觉伺服 篇

风驰电掣云端飘,相机无法对上焦 1.视觉伺服分类2.视觉伺服中的坐标系3.成像模型推导4.IBVS理论推导5.IBVS面临的挑战6.visp 实践参考文献 1.视觉伺服分类 控制量是在图像空间中推导得到还是在欧式空间中推导得到,视觉伺服又可以分类为基于位置(PBVS)和基…

我的3次软考高项通关之旅

1、缘起 初次听说软考是在2022年下半年了,软考的高级分为很多种,我起先想报考高级架构师,但是架构师一年才考一次,如果一次考不过得再准备一年,时间对我来说太长了,于是我决定报考一年考两次的高项。对于国…

python实现可视化大屏(django+pyechars)

1.实现效果图 2.对数据库进行迁移 python manage.py makemigrations python manage.py migrate 3.登录页面 {% load static%} <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport"…

计算机图形学入门20:加速光线追踪

1.前言 前文说了Whitted-style光线追踪技术的原理以及光线与平面的交点计算方式&#xff0c;对于现在应用最广的Polygon Mesh显式曲面来说&#xff0c;一个复杂场景中的多边形面总数可能达到千万甚至亿万以上&#xff0c;如果每个像素发射光线都和场景中每个平面进行求交点计算…

关于WebSocket

WebSocket 与传统的 HTTP 协议对比 在实时通信领域&#xff0c;传统的 HTTP 协议存在以下一些问题&#xff1a; 频繁的请求和响应&#xff1a;每次通信都需要建立和关闭连接&#xff0c;带来额外的开销。高延迟&#xff1a;每次通信都需要经过多个网络层的传输&#xff0c;延…

Android焦点机制结合WMS

文章前提&#xff1a; 了解WMS基本作用了解window的概念&#xff0c;phoneWindow&#xff0c;rootViewImpl了解view的事件分发 开始&#xff1a; 讲三件事情&#xff1a; window的创建&#xff0c;更新焦点的更新事件的分发 Window的创建&#xff0c;更新&#xff1a; wi…

完整代码Python爬取豆瓣电影详情数据

完整代码Python爬取豆瓣电影详情数据 引言 在数据科学和网络爬虫的世界里&#xff0c;豆瓣电影是一个丰富的数据源。在本文中&#xff0c;我们将探讨如何使用Python语言&#xff0c;结合requests和pyquery库来爬取豆瓣电影的详情页面数据。我们将通过一个具体的电影详情页面作…

农村经济与科技杂志社农村经济与科技编辑部2024年第8期目录

视点 数字经济驱动农业产业链升级路径研究——以河南省为例 王媛媛; 1-4 城乡融合视角下农村集体产权制度改革研究 齐建丽; 4-7 农业生态系统结构美建设内涵及实现路径 张鹏程; 8-13《农村经济与科技》投稿&#xff1a;cnqikantg126.com 农户宅基地退出政策加权…

【C++】——二叉搜索树(详解)

一 二叉搜索树概念 二叉搜索树又称二叉排序树&#xff0c;它或者是一棵空树&#xff0c;或者是具有以下性质的二叉树: ✨若它的左子树不为空&#xff0c;则左子树上所有节点的值都小于根节点的值 ✨若它的右子树不为空&#xff0c;则右子树上所有节点的值都大于根节点的值 …

在数字化转型中,数字孪生技术的作用和价值几何?

引言&#xff1a;随着全球化和市场竞争的加剧&#xff0c;企业需要通过数字化转型来提高生产效率、优化产品质量、降低成本&#xff0c;以增强自身竞争力。企业需要通过数字化转型更好地理解客户需求&#xff0c;提供个性化、定制化的产品和服务&#xff0c;从而满足客户的多样…

Axios-入门

介绍 Axios对原生Ajax进行了封装&#xff0c;简化书写&#xff0c;快速开发 官网&#xff1a;Axios中文文档 | Axios中文网 (axios-http.cn) 入门 1引入Axios的js文件 <script src"js/axios.js"></script> 2使用Axios发送请求&#xff0c;并获取响应…

链式队列算法库构建

学习贺利坚老师课程,构建链式队列算法库 数据结构之自建算法库——链队&#xff08;链式队列&#xff09;_数据结构函数链队列的算法框架有哪些-CSDN博客文章浏览阅读6.2k次&#xff0c;点赞3次&#xff0c;收藏9次。本文针对数据结构基础系列网络课程(3)&#xff1a;栈和队列…

在win7系统电脑安装node16的版本(已成功安装运行)

很多银行的项目行方都要求内网开发&#xff0c;但是我遇到的几个银行基本都是win7系统的电脑&#xff0c;而前端的项目又是需要高版本的node才能跑起来&#xff0c;所有就记录此解决方案文章&#xff01; 这是下载node安装包的地址&#xff1a;Index of /dist/ 在这里先下载自…

树形结构的勾选、取消勾选、删除、清空已选、回显、禁用

树形结构的勾选、取消勾选、删除、清空已选、回显、禁用 基本页面&#xff1a; 分为上传文件和编辑的页面 代码实现要点&#xff1a; 上传文件页面&#xff1a; 点开选择范围弹窗&#xff0c;三个radio单选框都为可选状态&#xff0c;默认显示的是第一个单选框&#xff08;按…

晶方科技:台积电吃饱,封装迎春?

半导体产业链掀起涨价潮&#xff0c;先进封装迎接利好。 这里我们来聊国内先进封装企业——晶方科技。 近期&#xff0c;由于产能供不应求&#xff0c;台积电决定上调先进封装产品价格&#xff0c;还表示订单已经排到2026年。 大哥吃不下了&#xff0c;剩下的订单全都是空间。…

Shell编程规范与变量-01

一、Shell脚本概述 在一些复杂的 Linux 维护工作中&#xff0c;大量重复性的输入和交互操作不仅费时费力&#xff0c;而且容易出错&#xff0c;而编写一个恰到好处的 Shell 脚本程序&#xff0c;可以批量处理、自动化地完成一系列维护任务&#xff0c;大大减轻管理员的负担。 1…

在Ubuntu上安装Python3

安装 python3 pip sudo apt -y install python3 python3-pip升级 pip python3 -m pip install --upgrade pip验证查看版本 python3 --version

web渗透-SSRF漏洞及discuz论坛网站测试

一、简介 ssrf(server-side request forgery:服务器端请求伪造&#xff09;是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下&#xff0c;ssrf是要目标网站的内部系统。(因为他是从内部系统访问的&#xff0c;所有可以通过它攻击外网无法访问的内部系统&…