LIniux网络安全防火墙

防火墙分类：

1、硬件防火墙

2、软件防火墙

IDS

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。美国国际计算机安全协会ICSA对入侵检测的定义是：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。

IDS的工作过程

1、数据收集

2、数据分析

3、结果处理

IDS分类

1、基于主机的IDS

2、基于网络的IDS

3、分布式IDS

IPS

IPS是英文“Intrusion Prevention System”的缩写，即入侵防御系统。IPS是一种主动防御技术，它可以对网络数据进行检测，丢弃有害的网络数据从而阻止对内容网络的攻击，对网络带宽进行限流以阻止滥用报文的行为。

iptables

在Linux中，iptables是一款自带的防火墙管理工具，它分为两部分：一部分位于内核中，用来存放规则，称为netfilter；一部分在用户空间中，用来定义规则，并将规则传递到内核中，在用户空间的这一部分就叫作iptables，我们通常所说的iptables其实是包含了netfilter与iptables这两部分。

netfilter将iptables定义的规则按功能分为五个部分：

INPUT：数据包入口过滤，定义数据包由外部发往内部的规则；

OUTPUT：数据包出口过滤，定义数据包由内部发往外部的规则；

FORWARD：转发关卡过滤，数据包不进入用户空间，进行路由转发时的规则；

PREROUTING：路由前过滤，数据包进来，还未查询路由表之前的规则，所有的数据包进来都要先由这个链进行处理；

POSTROUTING：路由后过滤，查询完路由表，数据将要出去的规则，所有发送出去的数据包都要由这个链进行处理。

这5部分构成了规则链

在iptables中，不同功能的链又组成不同的表，这五个规则链共组成了四个表：filter表（过滤规则表）、nat表（地址转换规则表）、mangle表（修改数据标记位规则表）和raw表（跟踪数据规则表），其中每个规则表中又可以包含多个规则链，如图所示。（四表五链）

iptables规则编写

iptables [-t 表名] [命令选项] [链名] [规则匹配] [-j 目标动作]

-A        在指定链的末尾添加一条新的规则

-D        删除指定链中的某一条规则，可以按规则序号和内容删除

-i          在指定链中插入一条新的规则，默认在第一行添加

-R        修改、替换指定链中的某一条规则，可以按规则序号和内容替换

-L        列出指定链中所有的规则进行查看

-F        清空防火墙规则

-N        创建一条用户自己定义的规则链

-X        删除指定表中用户自定义的规则链

-P        设置指定链的默认策略

-Z        将所有表的所有链的字节和数据包计数器清零

-n        使用数字形式显示输出结果

firewalld

firewalld配置防火墙规则时有两个模式：

运行时模式

永久模式

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！