亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　防火墻控制理論概念的剖析

　　防火墻在計(jì)算機(jī)語言中的理解：

　　工作于主機(jī)或者網(wǎng)絡(luò)邊緣，對(duì)于進(jìn)出的報(bào)文根據(jù)定義的規(guī)則做出檢查，進(jìn)而對(duì)被規(guī)則匹配到的報(bào)文作出相應(yīng)處理的套件。

　　防火墻和殺毒軟件的概念區(qū)別：防火墻是在病毒沒有進(jìn)入前做出了規(guī)則判斷和處理，殺毒軟件是對(duì)本機(jī)內(nèi)部的病毒進(jìn)行掃描和處理。這個(gè)可以形象的理解為：防火墻是拒人于千里之外，殺毒軟件就是甕中捉鱉。

　　防火墻的分類：

　　按照實(shí)施的方式分為：

　　軟件防火墻

　　硬件防火墻

　　按照應(yīng)用范圍的大小可以分為：

　　主機(jī)防火墻：工作在內(nèi)核的TCP/IP協(xié)議棧的。這是應(yīng)用于一個(gè)單獨(dú)的主機(jī)。

　　網(wǎng)絡(luò)防火墻：作用于一個(gè)區(qū)域的防火墻，對(duì)其內(nèi)部的各主機(jī)實(shí)現(xiàn)保護(hù)作用。

　　按照TCP/IP七層模型防火墻分為：

　　網(wǎng)絡(luò)層防火墻：作用網(wǎng)絡(luò)層只是通過源地址和目標(biāo)地址來檢查，效率高安全性不夠。

　　應(yīng)用層網(wǎng)關(guān)防火墻：這是對(duì)于真實(shí)的傳輸內(nèi)容，以及源地址目標(biāo)地址的全部檢查。 效果好，效率低。又由于我們網(wǎng)絡(luò)地址的訪問都是通過防火墻控制的接口來訪問的，如果效率不高會(huì)導(dǎo)致我們的服務(wù)器出現(xiàn)堵塞，因此一個(gè)防火墻應(yīng)用的不好，將是訪問流量的一個(gè)瓶頸。實(shí)際上這兩種，一般是結(jié)合起來一起使用的：網(wǎng)絡(luò)層防火墻—->應(yīng)用層網(wǎng)關(guān)防火墻—–>目標(biāo)主機(jī)

　　iptables/netfilter

　　在防火墻的使用中需要注意的是，我們經(jīng)常使用的工具iptables，不是防火墻。它只是一個(gè)用于防火墻寫規(guī)則的工具，iptables寫好規(guī)則之后發(fā)給netfilter，之后在內(nèi)核中立即生效。 那么既然iptables只是一個(gè)寫規(guī)則的工具，那怎么不直接把規(guī)則寫在netfilter？試想netfilter是在內(nèi)核中的，如果直接對(duì)內(nèi)核寫操作，內(nèi)核的穩(wěn)定性就堪憂了。

　　幾個(gè)相關(guān)名詞：IDS、IPC

　　IDS（Intrusion Detect System）   入侵檢測(cè)系統(tǒng)

　　IPS（Intrusion Protect System ） 入侵保護(hù)系統(tǒng)

　　iptables 的發(fā)展及工作機(jī)制

　　1.iptables的發(fā)展：

　　iptables的前身叫ipfirewall，起初它的工作功能極其有限(它需要將所有的規(guī)則都放進(jìn)內(nèi)核當(dāng)中，這樣規(guī)則才能夠運(yùn)行起來，而放進(jìn)內(nèi)核，這個(gè)做法一般是極其困難的)。當(dāng)內(nèi)核發(fā)展到2.x系列的時(shí)候，軟件更名為ipchains，它可以定義多條規(guī)則。通過將他們組合起來共同實(shí)現(xiàn)結(jié)果。之后就是現(xiàn)在的iptables它可以將規(guī)則組成一個(gè)列表，實(shí)現(xiàn)詳細(xì)的訪問控制功能。

　　iptables發(fā)展以來都是工作在用戶空間中，用于定義規(guī)則的工具，本身并不算是防火墻。它們定義的規(guī)則，可以讓在內(nèi)核空間當(dāng)中的netfilter來讀取，并且實(shí)現(xiàn)讓防火墻工作。而放入內(nèi)核的地方必須要是特定的位置，必須是tcp/ip的協(xié)議棧經(jīng)過的地方。而這個(gè)tcp/ip協(xié)議棧必須經(jīng)過的地方，可以實(shí)現(xiàn)讀取規(guī)則的地方就叫做 netfilter.(網(wǎng)絡(luò)過濾器)

　　2.iptables的工作機(jī)制

　　iptables的作者在網(wǎng)絡(luò)必然經(jīng)過的地方，選取了5個(gè)位置，來作為控制的地方。這五個(gè)位置也被稱為五個(gè)鉤子函數(shù)（hook functions），也叫五個(gè)規(guī)則鏈。這五個(gè)位置分別是：1.PREROUTING (路由前)2.INPUT (流入) 3.FORWARD (轉(zhuǎn)發(fā)關(guān)卡) 4.OUTPUT(流出) 5.POSTROUTING（路由后）。很明顯在路由前和路由后由于沒有經(jīng)過路由決策不會(huì)發(fā)生過濾作用的，而且我們的（INPUTFORWORDOUTPUT）已經(jīng)可以基本是實(shí)現(xiàn)路徑的全部封鎖控制了。那我們?yōu)槭裁催€要放置他們呢？這個(gè)主要是因?yàn)槲覀冊(cè)谧鯪AT和DNAT的時(shí)候，目標(biāo)地址轉(zhuǎn)換必須在路由之前轉(zhuǎn)換，這即是他們存在的意義。

　　3.防火墻的策略

　　防火墻策略一般分為兩種：

　　一種叫“通”策略，一種叫“堵”策略，通策略其實(shí)就是白名單，默認(rèn)端口是關(guān)著的，必須要自己指定用戶的才能進(jìn)來。堵策略可以理解是黑名單，規(guī)定范圍的人不可以進(jìn)來。那里但是你必須有身份認(rèn)證，否則不能進(jìn)。為了讓這些功能交替工作，我們制定出了“表”這個(gè)定義，來定義、區(qū)分各種不同的工作功能和處理方式。

　　4.iptables的表常用功能和鏈

　　我們現(xiàn)在用的比較多個(gè)功能有3個(gè)

　　1.filter 定義過濾條件的

　　2.nat 定義地址轉(zhuǎn)換的

　　3.mangle 修改報(bào)文原數(shù)據(jù)

　　我們修改報(bào)文原數(shù)據(jù)就是來修改TTL（time to live）的。能夠?qū)崿F(xiàn)將數(shù)據(jù)包的元數(shù)據(jù)拆開，在里面做標(biāo)記/修改內(nèi)容的。而防火墻標(biāo)記，其實(shí)就是靠mangle來實(shí)現(xiàn)的。

　　對(duì)于filter來講一般只能做在3個(gè)鏈上：INPUT ，F(xiàn)ORWARD ，OUTPUT

　　對(duì)于nat來講一般也只能做在3個(gè)鏈上：PREROUTING ，OUTPUT ，POSTROUTING

　　而mangle則是5個(gè)鏈都可以做：PREROUTING，INPUT，F(xiàn)ORWARD，OUTPUT，POSTROUTING

　　iptables/netfilter 是工作在用戶空間的，它可以讓規(guī)則進(jìn)行生效的，本身不是一種服務(wù)，而且規(guī)則是立即生效的。而我們iptables現(xiàn)在被做成了一個(gè)服務(wù)，可以進(jìn)行啟動(dòng)，停止的。啟動(dòng)，表示規(guī)則直接生效。停止，將規(guī)則撤銷。

　　iptables還支持自己定義鏈。但是自己定義的鏈，需要經(jīng)過主鏈的跳轉(zhuǎn)。當(dāng)有數(shù)據(jù)處理的時(shí)候，會(huì)到我們定義的鏈來處理，當(dāng)那個(gè)鏈處理完之后，再返回主鏈。接著在特定的鏈中繼續(xù)檢查。

　　iptables的規(guī)則和寫法

　　規(guī)則的寫法：

　　iptables定義規(guī)則的方式：

　　格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION

　　-t 指定表，這里表可以省略，如果省略默認(rèn)是filter。

　　COMMAND：定義如何對(duì)規(guī)則進(jìn)行管理：比如增加，插入，刪除等

　　chain：指定你接下來的規(guī)則到底是在哪個(gè)鏈上操作的{INPUT|OUPUT…}

　　CRETIRIA：指定匹配標(biāo)準(zhǔn)（對(duì)什么服務(wù)？什么端口？）

　　-j ACTION ：指定如何進(jìn)行處理{ACCEPT|DROP|REJECT}

　　比如：不允許172.16.0.0/16的進(jìn)行訪問。

　　iptables -A INPUT -s 172.16.0.0/16 -p udp –dport 53 -j DROP

　　iptables -L -n -v #查看定義規(guī)則的詳細(xì)信息

　　注意：規(guī)則的次序非常關(guān)鍵，誰的規(guī)則越嚴(yán)格，應(yīng)該放的越靠前，而檢查規(guī)則的時(shí)候，是按照從上往下的方式進(jìn)行檢查的。

　　iptables規(guī)則的具體內(nèi)容

　　1.鏈管理命令

　　-P ：設(shè)置默認(rèn)策略的（設(shè)定默認(rèn)門是關(guān)著的還是開著的）

　　默認(rèn)策略一般只有兩種

　　iptables -P INPUT (DROP|ACCEPT)  默認(rèn)是關(guān)的/默認(rèn)是開的

　　比如：

　　iptables -P INPUT DROP 這就把默認(rèn)規(guī)則給拒絕了。并且沒有定義哪個(gè)動(dòng)作，所以關(guān)于外界連接的所有規(guī)則包括Xshell連接之類的，遠(yuǎn)程連接都被拒絕了。

　　-F： FLASH，清空規(guī)則鏈的(注意每個(gè)鏈的管理權(quán)限)

　　iptables -t nat -F PREROUTING  清空路有前鏈

　　iptables -t nat -F 清空nat表的所有鏈

　　-N：NEW 支持用戶新建一個(gè)鏈

　　iptables -N inbound_tcp_web 表示附在tcp表上用于檢查web的。

　　-X： 用于刪除用戶自定義的空鏈

　　使用方法跟-N相同，但是在刪除之前必須要將里面的鏈給清空了

　　-E：用來Rename chain主要是用來給用戶自定義的鏈重命名

　　-E oldname newname

　　-Z：清空鏈，及鏈中默認(rèn)規(guī)則的計(jì)數(shù)器的（有兩個(gè)計(jì)數(shù)器，被匹配到多少個(gè)數(shù)據(jù)包，多少個(gè)字節(jié)）

　　2.規(guī)則管理命令

　　-A：追加，在當(dāng)前鏈的最后新增一個(gè)規(guī)則

　　-I num ： 插入，把當(dāng)前規(guī)則插入為第幾條。例如：-I 3 ：插入為第三條

　　-R num：Replays替換/修改第幾條規(guī)則  格式：iptables -R 3 …………

　　-D num：刪除，明確指定刪除第幾條規(guī)則

　　-L 后面可以有很多子命令：

　　-n：以數(shù)字的方式顯示，如果不加-n，則會(huì)將ip反向解析成主機(jī)名。

　　-v：顯示詳細(xì)信息

　　-vvv ：v 越多越詳細(xì)

　　-x：在計(jì)數(shù)器上顯示精確值，不做單位換算。

　　–line-numbers ： 顯示規(guī)則的行號(hào)

　　-t nat：顯示所有的關(guān)卡的信息

　　3.通用匹配標(biāo)準(zhǔn)

　　-s：指定作為源地址匹配，后面跟的必須是IP，加一個(gè)“！”地址可以取反，表示此IP之外。

　　-d：表示匹配目標(biāo)地址

　　-p：用于匹配協(xié)議的（這里的協(xié)議通常有3種，TCP/UDP/ICMP）

　　-i eth#：從這那塊網(wǎng)卡流入的數(shù)據(jù)，流入一般用在INPUT和PREROUTING上

　　-o eth#：從這塊網(wǎng)卡流出的數(shù)據(jù)， 流出一般在OUTPUT和POSTROUTING上

　　4.擴(kuò)展匹配

　　4.1隱含擴(kuò)展：對(duì)協(xié)議的擴(kuò)展

　　-p tcp ：TCP協(xié)議的擴(kuò)展。一般有三種擴(kuò)展

　　–dport：指定目標(biāo)端口   ， –dport 21

　　–sport：指定源端口

　　–tcp-fiags：TCP的標(biāo)志位（SYN，ACK，F(xiàn)IN，PSH，RST，URG）

　　–tcpflags syn，ack，fin，rst syn （syn，ack，fin，rst）表示檢查這4個(gè)位，這4個(gè)位中syn必須為1，其他的必須為0

　　或者等價(jià)于syn，ack，fin，rst syn  =  –syn

　　-p udp：UDP協(xié)議的擴(kuò)展

　　–dport

　　–sport

　　-p icmp：icmp數(shù)據(jù)報(bào)文的擴(kuò)展

　　–icmp-type：

　　echo-request(請(qǐng)求回顯)，一般用8 來表示

　　所以 –icmp-type 8 匹配請(qǐng)求回顯數(shù)據(jù)包

　　echo-reply （響應(yīng)的數(shù)據(jù)包）一般用0來表示

　　4.2顯式擴(kuò)展（-m）

　　擴(kuò)展各種模塊

　　multiport：多端口匹配

　　-m multiport：表示啟用多端口擴(kuò)展

　　–dports 21，23，80  表示啟用這多個(gè)端口。

　　–ports ：表示不分辨目標(biāo)端口和源端口啟用。

　　port如果是多個(gè)，逗號(hào)分隔，表示端口是離散的，22，80。如果是冒號(hào)分隔，表示連續(xù)的 22：23

　　另外如果 在選項(xiàng)前面加！ 還可以取反。這種情況可是使用在多個(gè)模塊中

　　iprange：匹配指定范圍內(nèi)的地址

　　–src-range ip1-ip2表示這兩個(gè)源IP之間的范圍。

　　–dst-range ip1-ip2表示這里倆個(gè)目標(biāo)IP之間的范圍。

　　例如：iptables -A INPUT -d 172.16.100.10 -p tcp –dport 23 -m iprange –src-range 172.16.100.1-172.16.100.100 -j ACCEPT

　　iptables -A OUTPUT -s 172.16.100.10 -p tcp –sport 23 -m iprange –drc-range 172.16.100.1-172.16.100.100 -j ACCEPT

　　String：字符串匹配

　　能夠檢測(cè)報(bào)文應(yīng)用層中的字符串。能夠起到指定字符無法訪問的方式。

　　字符匹配檢查使用的高效算法：

　　kmp ，bm

　　專用選項(xiàng)：

　　–algo {kmp|bm} 這里的兩個(gè)算法隨機(jī)選擇一個(gè)，為了字符查找時(shí)候，能實(shí)現(xiàn)高效查找的。

　　–string “STRING”  指定要匹配的字符，但是這種匹配效率比較低，建議使用16進(jìn)制的轉(zhuǎn)換，也就是下面的這種寫法：兩種指定方式任選其一。

　　–hex-string “HEX_STRING”：HEX_STRING

　　限制固定字眼的訪問，比如我們要限制對(duì)于網(wǎng)頁的特殊字眼的訪問。規(guī)則要寫在web規(guī)則的前面，不然因?yàn)閮?yōu)先級(jí)無法生效。

　　Time ：基于時(shí)間做訪問控制

　　專用選項(xiàng) -m time

　　–timestart hh：mm[：ss]指定限制的起始時(shí)間

　　–timestop  hh：mm[：ss]指定限制的末尾時(shí)間

　　–weekdays Mon .Tue….限制的周幾

　　例如：iptables -I INPUT -d 172.16.100.7 -p tcp –dport 80 -m time –timestart 08：20 –timestop 17：30 –weekdays Mon，Tue，Wen，Thu，F(xiàn)ri -j REJECT

　　Limit：用于速率限制，防止一個(gè)某個(gè)單獨(dú)的占用寬帶。

　　按照指定的速率發(fā)放通行證。有同通行證，就可以發(fā)放報(bào)文。但是對(duì)于長(zhǎng)期沒有發(fā)放報(bào)文的，允許將通行證放置于令牌桶中積累閑置個(gè)數(shù)。

　　專用選項(xiàng)-m limit

　　–limit n [/second|/minute/|/hour|/day] 限制多久傳送一次報(bào)文

　　–limit-burst  允許的空閑令牌個(gè)數(shù)

　　例如：iptables -A INPUT -d 172.16.100.7 -p icmp –icmp-type 8 -m limit –limit 20/minute –limit-burst 5 -j ACCEPT

　　State：狀態(tài)檢查

　　啟用了鏈接追蹤功能，就是當(dāng)一個(gè)客戶端在連接時(shí)，會(huì)被記錄在自己的連接會(huì)話表中。下次一旦連接會(huì)識(shí)別這個(gè)客戶端來過。就會(huì)給予放行。

　　這種鏈接追中有四種狀態(tài)：

　　NEW：第一次過來，還未建立鏈接 在三次握手的第一個(gè)階段。

　　ESTABLISHED：已建立的鏈接       在三次握手的第二三階段。

　　RELATED：有關(guān)聯(lián)關(guān)系的鏈接       這個(gè)體現(xiàn)在FTP 20和21端口，比如：鏈接我們21端口的鏈接，可以使用我們的20這個(gè)端口發(fā)送數(shù)據(jù)。

　　INVALID：無法鏈接  例如：鏈接狀態(tài)是syn=1 ，ack=1 ，rst=1 ，這種狀態(tài)是無法識(shí)別的。就是INVALID狀態(tài)。

　　例如：iptables -A INPUT -d 172.16.100.7 -p tcp -m multiport –dports 22，80 -m start –state NEW -j ACCEPT

　　iptables -I INPUT -d 172.16.100.7 -m start –state ESTABLISHED -j ACCEPT

　　iptables -I OUTPUT -s 172.16.100.7 -m state –state ESTABLISHED -j ACCEPT

　　iptables -P OUTPUT DROP

　　狀態(tài)檢測(cè)的意義：為了防止反彈木馬，在自己的服務(wù)器建立反彈控制。因此我們?cè)O(shè)置狀態(tài)控制，只對(duì)進(jìn)來的那個(gè)客戶端，做出響應(yīng)。使用上，ESTABLED 建立在NEW之前。

　　-j ACTION

　　常用的ACTION：

　　DROP：委婉的拒絕，一般我們多用DROP來隱藏我們的身份，以及隱藏我們的鏈表。

　　REJECT：明示拒絕

　　ACCEPT：接受

　　custom_chain：轉(zhuǎn)向一個(gè)自定義的鏈

　　DNAT

　　SNAT

　　MASQUERADE：源地址偽裝

　　REDIRECT：重定向：主要用于實(shí)現(xiàn)端口重定向

　　MARK：打防火墻標(biāo)記的

　　RETURN：返回。在自定義鏈執(zhí)行完畢后使用返回，來返回原規(guī)則鏈。

　目標(biāo)地址轉(zhuǎn)換和源地址轉(zhuǎn)換

　　SNAT基于源地址轉(zhuǎn)換

　　這種模型就是將自己一方作為客戶端而且是認(rèn)為是私網(wǎng)地址，需要通過一個(gè)公網(wǎng)接口去訪問外部網(wǎng)站。這是就需要一個(gè)源地址轉(zhuǎn)換了。

　　源地址轉(zhuǎn)換定義的樣式：

　　比如我們現(xiàn)在要將所有192.168.10.0網(wǎng)段的IP在經(jīng)過的時(shí)候全都轉(zhuǎn)換成172.16.100.7這個(gè)假設(shè)出來的外網(wǎng)地址：

　　iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT –to-source 172.16.100.7

　　這樣，只要是來自本地網(wǎng)絡(luò)的試圖通過網(wǎng)卡訪問網(wǎng)絡(luò)的，都會(huì)被統(tǒng)統(tǒng)轉(zhuǎn)換成172.16.100.1這個(gè)IP.但是有時(shí)候我們的上網(wǎng)往往是撥號(hào)上網(wǎng)，IP地址是不固定的。這時(shí)我們就要將外網(wǎng)地址換成 MASQUERADE(動(dòng)態(tài)偽裝)：它可以實(shí)現(xiàn)自動(dòng)尋找到外網(wǎng)地址，而自動(dòng)將其改為正確的外網(wǎng)地址。所以，我們就需要這樣設(shè)置：

　　iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

　　這里要注意：此處沒有省略-t

　　DNAT基于源地址轉(zhuǎn)換

　　對(duì)于目標(biāo)地址轉(zhuǎn)換，外面的是客戶端，我們自己的一方是服務(wù)器端，外面的ip通過我們對(duì)外的外網(wǎng)ip來訪問我們服務(wù)器不同的服務(wù)器，而我們的服務(wù)卻放在內(nèi)網(wǎng)服務(wù)器的不同的服務(wù)器上。這樣也就是偽裝了我們的服務(wù)器。

　　目標(biāo)地址轉(zhuǎn)換的格式：

　　iptables -t nat -A PREROUTING -d 192.168.10.2 -p tcp –dport 80 -j DNAT –todestination 172.16.100.7

　　控制規(guī)則的保存和開啟

　　因?yàn)槎x的所有內(nèi)容是立即生效而且是臨時(shí)的，當(dāng)重啟的時(shí)候都會(huì)失效，要想我們能夠下次開機(jī)生效，需要使用一個(gè)命令將它保存起來

　　service iptables save

　　它會(huì)保存在/etc/sysconfig/iptables這個(gè)文件中

　　iptables-save

　　iptables-save > /etc/sysconfig/iptables

　　iptables-restore

　　開機(jī)的時(shí)候，它會(huì)自動(dòng)加載/etc/sysconfig/iptabels

　　如果開機(jī)不能加載或者沒有加載，而你想讓一個(gè)自己寫的配置文件手動(dòng)生效的話：

　　iptables-restore < /etc/sysconfig/iptables.test

　　則完成了將iptables中定義的規(guī)則手動(dòng)生效

    文章來源：http://guanqianjian.blog.51cto.com/9652236/1598984