Firewalld系统壁垒防火墙
Author: liuchao
email: mirschao@gmail.com
github: https://github.com/mirschao
gitee: https://gitee.com/mirschao
第一章 防火墙概述
企业级防火墙是专门设计用于保护企业网络安全的高级防护设备。它们提供了比个人或小型网络防火墙更强大、更复杂的功能,以应对更复杂和多样化的安全威胁。以下是企业级防火墙的一些关键特点和功能:
高性能和可扩展性:企业级防火墙通常具备高处理能力和流量处理能力,以适应大型企业的网络需求。它们可以处理大量并发连接和高速数据传输,同时支持多个网络接口和虚拟局域网(VLAN)。
深度封包检查:企业级防火墙支持深度封包检查(Deep Packet Inspection,DPI),能够对网络数据包进行更深入的分析和检查,以便识别恶意流量、应用程序和威胁。
应用程序识别和控制:这些防火墙能够识别网络流量中的各种应用程序,甚至在使用标准端口之外的情况下也能做到。这允许管理员对特定应用程序实施访问策略和限制。
威胁情报和阻止:企业级防火墙通常与威胁情报数据库集成,可以实时获取关于已知恶意IP地址、域名和恶意文件的信息。这使得防火墙能够阻止与这些恶意来源的通信。
虚拟专用网络(VPN)支持:企业级防火墙通常支持安全的远程访问,允许远程用户通过VPN连接到公司网络,以便安全地访问资源。
访问控制和策略管理:管理员可以定义细粒度的访问控制策略,基于IP地址、端口、协议、应用程序等多种条件。这允许企业根据需要定制访问权限。
入侵检测和防御系统(IDS/IPS):一些企业级防火墙集成了入侵检测和防御功能,可以监测网络流量中的异常行为并采取措施防止入侵。
报告和日志:这些防火墙通常能够生成详细的安全事件报告和日志,帮助管理员了解网络活动和潜在威胁。
高可用性和冗余:为了确保连续性,企业级防火墙通常支持冗余配置,以及在硬件故障时的无缝切换。
1.1 防火墙的分类
企业级防火墙可以根据其部署方式和特点进一步分为硬件防火墙和软件防火墙(WAF,Web Application Firewall)。让我更详细地解释一下它们各自的特点:
硬件防火墙: 硬件防火墙是一种基于物理设备的网络安全设备,通常部署在网络边界,用于保护企业内部网络与外部网络之间的通信。它们通常是独立的硬件设备,具有高性能和专门优化的硬件组件,以应对大量的网络流量和攻击。硬件防火墙可以提供强大的安全功能,包括深度封包检查、应用程序控制、入侵检测和防御等。它们也常常具有高可用性和冗余配置,以确保网络连续性。
软件防火墙(WAF): WAF是一种专门设计用于保护网络应用程序的防火墙。它主要关注应用层安全,即保护网络应用免受针对应用程序漏洞和攻击的威胁。WAF可以在应用程序服务器和Web服务器之间部署,监视和过滤进入应用程序的流量,以检测和防止恶意活动,如SQL注入、跨站脚本攻击(XSS)等。WAF可以是物理设备、虚拟设备或者作为软件模块嵌入到应用程序中。
1.2 防火墙的应用场景
硬件防火墙的应用场景:
企业网络边界保护:硬件防火墙通常用于保护企业网络与外部网络之间的边界。它们监视并过滤进出网络的流量,防止恶意数据包和攻击流量进入内部网络。
数据中心保护:在大型数据中心环境中,硬件防火墙可以确保服务器和资源之间的流量受到保护。它们可以处理大量的服务器间通信,并识别异常流量以及潜在的攻击。
分支办公室保护:对于分布式组织来说,硬件防火墙可以在不同的办公室或分支机构中提供一致的安全保护,确保数据和通信受到保护。
访客网络隔离:一些企业可能提供用于客户或访客的独立网络。硬件防火墙可以确保这些网络与内部网络隔离,以保护内部敏感数据不受外部用户的影响。
VPN入口保护:硬件防火墙可用于保护远程访问VPN的入口,防止未经授权的用户进入企业网络。
软件防火墙(WAF)的应用场景:
Web应用程序保护:WAF主要用于保护Web应用程序免受应用层攻击,如SQL注入、XSS、CSRF等。它们能够检测并阻止恶意的Web请求。
电子商务平台:在线商店和电子支付平台通常是攻击的目标。WAF可以保护这些平台的用户数据和支付信息。
内容管理系统(CMS):许多网站使用CMS来管理内容。WAF可以帮助保护CMS免受针对其漏洞的攻击,防止恶意用户篡改内容。
API保护:随着API的普及,保护API免受滥用和攻击变得至关重要。WAF可以监控和控制进入API的请求,以防止恶意行为。
云应用程序保护:在云环境中,WAF可以用于保护托管在云平台上的应用程序,确保它们不受来自公共网络的攻击。
第二章 防火墙工具
2.1 iptables
iptables是一个在Linux操作系统上使用的防火墙管理工具,它允许你配置和管理网络数据包的过滤、转发和修改。通过iptables,你可以设置规则来控制进出系统的网络流量,从而增强系统的网络安全性
iptables通过规则集来定义如何处理不同类型的网络流量。每个规则定义了一个条件,当一个数据包满足这个条件时,系统会执行预定的操作,比如允许、拒绝、丢弃或者转发数据包。这使得你可以根据需要配置细粒度的网络访问控制
iptables的基本结构由以下几个主要部分组成:
表(Table):iptables规则分为不同的表,每个表用于不同类型的任务
filter: 负责过滤功能; 与之对应的内核模块是iptables_filter
nat: 网络地址转换功能, 典型的比如SNAT,DNAT; 与之对应的内核模块是iptables_nat
mangle: 解包报文, 修改并封包; 与之对应的内核模块是iptables_mangle
raw: 关闭nat表上启用的连接追踪机制; 与之对应的内核模块是iptables_raw
链(Chain):每个表由多个链组成,链是规则的容器。
初次到网络层的数据包通过PRE_ROUTING关卡时, 要进行一次路由选择, 当目标地址为本机地址时, 数据进入INPUT, 非本地的目标地址进入FORWARD(需内核支持IP_FORWARD) 所以目标地址转换常在这个链上进行
INPUT: 经过路由之后送往本地的数据包经过此链, 所以过滤INPUT包在此链上进行
FORWARD: 经过路由选择之后要转发的数据包经过此链, 所以网络防火墙通常在此链配置
OUTPUT: 由本地用户空间应用进程产生的数据包经过此链, 所以OUTPUT包过滤在此链进行
POST_ROUTING: 刚刚通过FORWARD和OUTPUT链的数据包要通过一次路由选择由哪个接口送往网络中, 经过路由之后的数据包要通过POST_ROUTING链, 源地址转换通常在此链进行
规则(Rule):规则是在链中定义的,它们指定了当一个数据包满足特定条件时所采取的动作。规则由匹配条件和动作组成
x#> 安装 iptables 工具到机器中$ yum install -y iptables-services
#> iptables使用框架iptables -t 表名 <-A/I/D> 链名 <-i/o 网卡> -p 协议名 <-s 源IP> --sport 源端口 <-d 目标IP> --dport 目标端口 -j 动作
#> 针对规则的增删改查##>> 列出对应表中的规则$ iptables -t 表名 --list
##>> 清空表规则(全部)$ iptables -F$ iptables-save # /etc/init.d/iptables.save
##>> 增加表规则###>>> 插入放通80端口的规则$ iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT###>>> 对特定网段放通3306$ iptables -A INPUT -i ens33 -p tcp -s 192.168.19.0/24 --dport 3306 -j ACCEPT###>>> 追加对所有请求的丢弃$ iptables -A INPUT -i ens33 -j DROP
##>> 删除某条特定的规则$ iptables -L INPUT -n --line-numbers$ iptables -D INPUT [number]
##>> 修改某一条规则$ iptables -L INPUT -n --line-numbers$ iptables -R INPUT X -i ens33 -p tcp -s 10.9.12.0/24 --dport 3306 -j ACCEPT配置转发需要机器开启转发功能; 将net.ipv4.ip_forward = 1 写入/etc/sysctl.conf 中; 并且使用命令sysctl -p使之生效;
xxxxxxxxxx#> prerouting链 设置 将63306端口的流量转移到本机的3306端口上$ iptables -t nat -A PREROUTING -p tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306
#> postrouting链 设置 源地址为本机地址$ iptables -t nat -A POSTROUTING -p tcp --dport 63306 -j SNAT --to-source 127.0.0.1
2.2 WAF
Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。适用于云上以及云外所有用户,主要用于金融、电商、O2O、互联网+、游戏、政府、保险等行业各类网站的Web应用安全防护。点击此处 获取使用指南