安全技术和防火墙(一)

安全技术和防火墙

安全技术
入侵检测系统:特点是不阻断网络访问,主要提供报警和事后监督 不主动介入 (监控)
入侵防御系统:透明模式工作 ,数据包,网络监控,服务攻击,木马,蠕虫,系统漏洞 等 进行准确的分析判断
判断为攻击行为后会立即阻断 主动防御(所有数据进入本机之前 必须要通过的设备或软件)

防火墙:隔离 ,工作在网络或者主机的边缘
对网络或主机的数据包基于一定的规则进行检查
匹配到的规则 放行/拒绝(数据包会被丢弃)
只开放允许访问的策略(白名单 拒绝所有,允许个别)
防水墙:防止内部信息泄露的产品 对外有防火墙的功能 对内是透明模式

防火墙:
iptables 是linux自带的防火墙 一般用于内部配置 对外一般不适用,对外一般使用专业的
firewalld linux自带防火墙 是 centos7以后的默认防火墙 功能和iptables一样

都属于包过滤防火墙(对数据包进行控制)
网络层对数据包进行选择 选择依据是防火墙设置的策略
策略:ip地址 ,端口, 协议
优点:处理速度快 易于维护
缺点:无法检查应用层数据 病毒无法进行处理

应用层防火墙:在应用层对数据进行检查 比较安全
优点:更安全 ,问题可以精准定位
缺点:所有数据都会检查 增加防火墙的负载

iptables:工作在网络层 针对数据包实施过滤和限制,包过滤防火墙
通信的要素:五大要素/四大要素
五大要素:源ip 目的ip 源端口 目的端口 协议
四要素:源ip 目的ip 源端口 目的端口

内核态和用户态:
内核态:涉及到软件的底层代码或系统的基层逻辑,以及一些硬件的编码
数据如果是内核态处理 速度相对较快
iptables 的过滤规则就是由内核来进行控制

用户态:
应用层软件层面 人为控制的一系列操作,使用功能。
数据只通过用户态处理,速度比较慢

iptables的配置和策略

四表五链

iptables 四个表

1.raw表 用于控制数据包的状态,跟踪数据包的状态

2.mangle表 修改数据包的头部信息

3.nat表 网络地址转换 可以改变数据包的源地址和目的地址

4.filter表 是iptables的默认表 默认是filter表 作用是过滤数据包 控制数据包的进出,以及接收和拒绝数据包。

五链
1.PREROUTING链 处理数据包进入本机之前的规则(NAT表)
2.INPUT链 处理数据包进入本机的规则(filter表 是否允许数据包进入)
3.output链 处理本机发出的数据包的规则 或是数据包离开本机的规则(filter表,一般不设置)
4.forward链 处理数据包转发到其他主机的规则 或 是否允许本机进行数据包转发
5.postrouting链 处理数据包离开本机之后的规则(NAT表)

优先级: Raw>Mangle>Nat>Filter
数据包进入防火墙,匹配raw表的规则—mangle的规则—nat表的规则—filter表的规则

iptables
管理选项:在表的链中 插入 增加 删除 查看
匹配的条件 数据包的 ip地址,端口,协议
控制类型:允许,拒绝,丢弃

注意:
1.不指定表名 默认为filter表
2.不指定链名 默认为所有链
3.除非设置了链的默认策略,否则必须执行匹配条件
4.选项,链名和控制类型 基本都是大写其余都是小写

控制类型:

ACCEPT 允许数据包通过
DROP 直接丢弃数据包 没有任何回应信息
REJECT 拒绝数据包通过 数据包也会被丢弃 但会有一个响应信息
SNAT 修改数据包的源地址
DNAT 修改数据包的目的地址

管理选项:

-t指定表名
-A 在链尾添加一条规则
-I 可以指定位置插入一条规则
-P 指定链的默认规则 iptables默认是允许
-D删除规则
-R 修改规则(慎用)
-vnL v显示详细 n数字形式展示内容 L查看
–line-numbers 显示规则的编号 和查看一起使用
-F 清空链中的所有规则(慎用)
-X 清除自定义链的规则

匹配条件:

-p 指定协议类型
-s 指定匹配的源ip地址
-d 指定匹配的目的ip地址
-i 指定数据包进入本机的网络设备
-o 指定数据包离开本机的网络设备
–sport 指定源端口
–dport指定目的端口

iptables命令格式
iptables [-t 表名] 管理选项 链名 匹配条件 [-j 控制类型]
所有的控制类型前面都是 -j
匹配原则
每个链中的规则都是从上到下的顺序匹配 匹配到之后不再向下匹配
如果链中没有规则 则执行链的默认策略

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/35657.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

高校心理咨询管理系统

摘 要 随着高校学生心理问题的增多,心理咨询服务在高校中的重要性日益凸显。然而,传统的心理咨询管理方式存在着诸多问题,如信息不透明、咨询师资源不足等。为了解决这些问题,本文设计并实现了一种基于Java Web的高校心理咨询管理…

model_json_schema

model_json_schema示列 from pydantic import BaseModel, Field, ValidationError, field_validatorclass User(BaseModel):id: int Field(default0, lt100, gt0)username: stremail: strfield_validator(username)def name_must_alpha(cls, v):assert v.isalpha(), name mus…

浸式冷却设计参数

每天一篇行业发展资讯,让大家更及时了解外面的世界。 更多资讯,请关注B站/公众号【莱歌数字】,有视频教程~~ 两相被动浸入冷却是指使用改变相的沸腾液体来去除一个或多个表面的热量的冷却系统。 然后蒸汽被移动到冷凝器,然后被…

LaTeX中添加矩阵分块虚线并设置虚线疏密

对于大型矩阵,有时需要添加分块虚线。 方法为使用arydshln宏包,然后在array环境中设置虚线。需要注意的是,使用矩阵环境需要搭配amsmath宏包使用,且需放在amsmath宏包之后。即导言区设置为 \usepackage{amsmath} \usepackage{ary…

日语培训日语等级考试柯桥小语种学习语言学校

什么是外来语 外来语是指在日本的国语中使用的来源于外国语言的词汇。但狭义上的外来语则是指来源于欧美国家语言的词汇,其中大部分是来源于英美语系的词汇。日语中的汉语词汇很多,大多是自古以来从中国引进的,从外来语的定义看,汉…

NLP逻辑层次模型|跳出局限,站在更高维度认识自己

什么是NLP逻辑层次模型 N-Neuro:指神经系统,包括生理基础(大脑)和思维运作过程 L-Linguistic:指语言,感觉信号输出——构成意思的过程 P-Programming:指程序,大脑产生某结论后要具体…

【干货】Vue3 组件通信方式详解

前言 毫无疑问,组件通信是Vue中非常重要的技术之一,它的出现能够使我们非常方便的在不同组件之间进行数据的传递,以达到数据交互的效果。所以,学习组件通信技术是非常有必要的,本文将总结Vue中关于组件通信的八种方式…

代码随想录算法训练营DAY49|300.最长递增子序列、 674. 最长连续递增序列、718. 最长重复子数组

300.最长递增子序列 题目链接:300.最长递增子序列dp初始化为1(最小子序列长度为1) class Solution(object):def lengthOfLIS(self, nums):""":type nums: List[int]:rtype: int"""dp [1]*len(nums)result …

leetcode-18- [669]修剪二叉搜索树[108]将有序数组转换为二叉搜索树[538]把二叉搜索树转换为累加树

重点:一般二叉树多考虑遍历顺序, 二叉搜索树多考虑特性,不用考虑遍历顺序。 一、[108]将有序数组转换为二叉搜索树 左闭右开 偶数取左边 class Solution {public TreeNode sortedArrayToBST(int[] nums) {return traversal(nums,0, nums…

ArcGIS定义1.5度带坐标系与投影转换

​ 点击下方全系列课程学习 点击学习—>ArcGIS全系列实战视频教程——9个单一课程组合系列直播回放 点击学习——>遥感影像综合处理4大遥感软件ArcGISENVIErdaseCognition 对于ArcGIS如何定义高斯克吕格3度带、6度带,我相信大部分人都是比较清楚的&#xff0…

OAuth 2.0资源授权机制与安全风险分析

文章目录 前言OAuth2.01.1 OAuth应用1.2 OAuth基础1.3 授权码模式1.4 其它类模式1.5 openid连接 安全风险2.1 隐式授权劫持2.2 CSRF攻击风险2.3 Url重定向漏洞2.4 scope校验缺陷 总结 前言 OAuth 全称为Open Authorization(开放授权),OAuth …

为什么不推荐使用 UUID 作为主键

UUID 作为主键的讨论背景 面试官提出问题时,应提供具体场景,例如 UUID 是由日志服务器还是客户端生成。 UUID 的优点 独立生成:可以在任何地方生成,无需与数据库服务器往返。简化逻辑:预先生成父表主键值&#xff0…

使用API有效率地管理Dynadot域名,为文件夹中的域名进行域名停放

关于Dynadot Dynadot是通过ICANN认证的域名注册商,自2002年成立以来,服务于全球108个国家和地区的客户,为数以万计的客户提供简洁,优惠,安全的域名注册以及管理服务。 Dynadot平台操作教程索引(包括域名邮…

“RLC串联正弦稳态电路的仿真研究”课程设计,高分资源,匠心制作,下载可用。强烈推荐!!!

1.设计目的 用 Multisim 电路仿真软件,对一个 RLC 串联电路进行正弦稳态电路分析。 2任务分析 2.1任务要求1 在 Multisim 中搭建一个 RLC 串联电路,其中 R、 L、 C、正弦激励源的振幅Vp和频率 f 等所有参数均可自己任意设置(不建议都采用…

RT-Thread Studio实现静态线程

1创建项目 (STM32F03ZET6) RT-Thread项目与RT-Thread Nano 项目区别 RT-Thread: 完整版:这是RT-Thread的完整形态,适用于资源较丰富的物联网设备。功能:它提供了全面的中间件组件,如文件系统、网络协议栈、…

[创业之路-130] :制造业企业的必备管理神器-ERP-基础数据库-物料类型与物料编码

目录 前言: 一、什么是物料 1、物料的定义 2、物料的分类 3、物料的性质 4. 辅助物料要放到产品的BOM中吗? 二、ERP物料类型 三、ERP物料编码 3.1 概述 3.2 示例 示例一:某企业冰箱材料分类与编码 示例二:某机械加工厂…

行业案例 | 智能终端设备的数据基础从哪儿来?

智能终端的快速发展让我们在许多科幻电影中看到的“未来场景”正在一步步变为现实:智能家居正在解放我们的双手,工业机器人让生产效率倍增,智能穿戴设备让我们便利地感知自身与外部的连结……然而,要想让万物“智联”,…

主流数据同步工具对比详解

文章目录 概述1. Flink CDC (Apache Flink Change Data Capture)2. Debezium3. DataX4. Canal5. Sqoop6. Kettle (Pentaho Data Integration)7. Oracle GoldenGate概述 数据同步工具是企业数据开发常用的中间件,如何从众多工具中正确选型是个问题,本文详细介绍了主流工具的优…

从环型到树型:多种网络拓扑结构的优缺点及应用

网络拓扑作为网络设计的基础,对于网络的性能、可靠性和扩展性起着重要作用。作为网络通信工程师,我们不仅需要了解网络拓扑的基本概念,还需深入掌握其在实际网络设计中的应用。本文将详细介绍网络拓扑,包括物理拓扑、逻辑拓扑&…

足底筋膜炎最快治疗方法有哪些

足底筋膜炎的治疗方式多样,因病而异,因人而异。为了快速有效地治疗足底筋膜炎,以下是一些建议的治疗方案: 1、物理治疗: 针灸、按摩、理疗、热敷等方式可以缓解局部炎症。这些物理治疗方法有助于促进血液循环&#xff…