防火牆分布較廣,在應用層、網路層、傳輸層、資料鏈路層均有防火牆。防火牆主要是由「四表五鏈」組成。
「四表」:
優先順序由高到低的順序為:raw–>mangle–>nat–>filter
「五鏈」:五個內建鏈chain
input
output
forward
prerouting
postrouting
表和鏈之間的關係:表在鏈上實現相應的功能
對於防火牆來說共有三種報文流向:
1.流入本機:prerouting --> input–>使用者空間程序
2.流出本機:使用者空間程序–>output–> postrouting
3.**功能:prerouting --> forward --> postrouting
filter表實現的是過濾功能,它存在於input、output、forward三條鏈上,新增規則到filter表、確定鏈上就可以在固定鏈上實現我們想要的過濾功能了。
nat表是用來進行ip位址轉換的,一般將nat表設定在prerouting和postrouting這兩條鏈上,既可以是源ip位址轉換snat,也可以是目的ip位址轉換dnat,其中源ip位址轉換snat設定在postrouting鏈上,轉換一下源ip變成接入公網的ip;目的ip位址轉換dnat設定在prerouting鏈上,引導外界訪問的資料報到達使用者空間,把目的ip轉換成自己內部設定的相應的ip。
技術特點作用
入侵檢測與管理系統(intrusion detection systems)
特點是不阻斷任何網路訪問,量化、定位來自內外網路的威脅情況,主要以提供報告和事後監督為主,提供有針對性的指導措施和安全決策依據。一般採用旁路部署方式
入侵防禦系統(intrusion prevention system)
防火牆(firewall )
隔離功能,工作在網路或主機邊緣,對進出網路或主機的資料報基於一定的規則檢查,並在匹配某規則時由規則定義的行為進行處理的一組功能的元件,基本上的實現都是預設情況下關閉所有的通過型訪問,只開放允許訪問的策略
分類範圍
主機防火牆
服務範圍為當前主機
網路防火牆
服務範圍為防火牆一側的區域網
硬體防火牆
在專用硬體級別實現部分功能的防火牆;另乙個部分功能基於軟體實現,checkpoint,netscreen
軟體防火牆
執行於通用硬體平台之上的防火牆的應用軟體
網路層防火牆
osi下面第三層
應用層防火牆/**伺服器
**閘道器,osi七層
網路層防火牆
包過濾防火牆
網路層對資料報進行選擇,選擇的依據是系統內設定的過濾邏輯,被稱為訪問控制列表(acl),通過檢查資料流中每個資料的源位址,目的位址,所用埠號和協議狀態等因素,或他們的組合來確定是否允許該資料報通過
應用層防火牆
應用層防火牆/**服務型防火牆(proxy service)
將所有跨越防火牆的網路通訊鏈路分為兩段
內外網使用者的訪問都是通過**伺服器上的「鏈結」來實現
現實生產環境中所使用的防火牆一般都是二者結合體(網路層防火牆+應用層防火牆)
即先檢查網路資料,通過之後再送到應用層去檢查
教你如何開啟 關閉ubuntu防火牆
sudo apt get install ufw 當然,這是有圖形介面的 比較簡陋 在新立得裡搜尋gufw試試 1 啟用 sudo ufw enable sudo ufw default deny 作用 開啟了防火牆並隨系統啟動同時關閉所有外部對本機的訪問 本機訪問外部正常 2 關閉 sudo uf...
教你如何開啟 關閉ubuntu防火牆
sudo apt get install ufw 當然,這是有圖形介面的 比較簡陋 在新立得裡搜尋gufw試試 1 啟用 sudo ufw enable sudo ufw default deny 作用 開啟了防火牆並隨系統啟動同時關閉所有外部對本機的訪問 本機訪問外部正常 2 關閉 sudo uf...
教你如何構建簡單的Web API
wcf web api支援多個宿主環境 自宿主 windows服務或者控制台 和iis宿主 asp.net webform mvc 這個入門文章主要演示在asp.net mvc3 宿主 設定站點的埠號為9000 2 向解決方案中加入web api的引用 通過nuget來新增web api的程式集引用...