一、安全技术和防火墙
1.1 安全技术
入侵检测系统：特点是不阻断网络访问，主要是提供报警和时候报警，不主动介入。

入侵防御系统：透明模式工作，对数据包、网络监控、服务攻击、木马蠕虫、系统漏洞等等进行准确的分析和判断。在判定为攻击行为后会立即阻断，主动防御。所有数据在进入本机之前，必须要通过的设备或软件。

防火墙：核心功能：隔离，工作在网络或者主机的边缘，一般在Internet和内网之间。对网络或者主机的数据包基于一定的规则进行检查，根据匹配到的规则放行或拒绝（丢弃数据包）。

只开放允许访问的策略。（白名单机制，拒绝所有，允许个别。）

防水墙：是一种防止内部信息泄露的产品。对外有防火墙的功能，对内是透明模式工作，类似于监控。

 1.2 防火墙
iptables ：这个linux自带的防火墙，一般用于内部配置。对外一般不适用（对外都使用专业的）。

firewalld ：CentOS7以后默认的防火墙。功能和iptables大体一致。

ufw ：是ubantu自带的防火墙，ubantu也有iptables，功能也一致

iptables ufw 和 firewalld都是包过滤防火墙，对数据包进行控制。在网络层对数据包进行选择，选择的依据是防火墙设置的策略。

策略：IP地址，端口，协议。

优点：处理速度快，利于维护。

缺点：无法检查应用层数据，无法对病毒进行处理。

1. 应用层防火墙：在应用层对数据进行检查，比较安全。

​ 优点：相对更安全，可以精准定位问题。

​ 缺点：所有数据都要检查，会增加防火墙的负载。

  2.iptables防火墙

iptables防火墙工作在网络层，针对数据包实施过滤和限制，属于包过滤防火墙

1.3 内核态和用户态
内核态

涉及到软件的底层代码或者是系统的基层逻辑，以及一些硬件的编码。相对比较复杂，开发人员更关注内核态。

如果数据是内核态处理的，处理速度相对较快。

iptables的过滤规则就是由内核来进行控制的。

用户态

应用层软件层面，多是人为控制的一系列操作，使用功能等。

运维人员一般只考虑用户态。

数据只通过用户态处理，速度相对较慢。

二、iptables防火墙
iptables的配置和策略

2.1 四表五链
iptables的四表：

1.Raw表 ：用于控制数据包的状态，可以跟踪数据包的状态

2.Mangle表 ：用于修改数据包的头部信息

3.Nat表 ：用于网络地址转换，可以改变数据包的源地址和目的地址

4.Filter表 ：也是iptables的默认表，不做声明时，默认就是filter表，过滤数据包的进出，以及接收和拒绝数据包

iptables的五链：

PREROUTING链 ：处理数据包进入本机之前的规则（路由前）（Nat表）

INPUT链 ：处理数据包进入本机的规则（Filter表，是否允许数据包进入）

OUTPUT链 ：处理本机发出的数据包的规则，或者是数据包离开本机的规则（Filter表，是否允许数据包发出，一般不做设置）

FORWARD链 ：处理数据包转发到其他主机的规则，或者是否允许本机进行数据包转发

POSTROUTING链 ：处理数据包离开本机之后的规则（路由后）（Nat表）

通俗的说法：表里面有链，链里面有规则。

四表的优先级：

Raw > Mangle > Nat > Filter，匹配规则由高到低。

2.2 数据流向
例：数据转发的过程
按优先级高低查四表里的链，并匹配链里的规则

查PREROUTING链和POSTROUTING链查看地址变换规则，

查FORWARD链是否允许转发，以及转发的具体规则。

例：请求响应的过程（http https服务等）
按优先级高低查四表里的链，并匹配链里的规则

请求：查INPUT链的规则：是否允许该地址或者端口访问web服务。若拒绝，数据包将直接丢弃

响应：查OUTPUT链的规则：是否允许响应，一般不做约束。如拒绝，响应的数据包也被丢弃
 2.3 iptables命令

管理选项 ：在表的链中插入、增加、删除、查看规则。

匹配的条件 ：数据包的IP地址、端口、协议。

控制类型 ：允许，拒绝，丢弃，地址转换。

注意事项：

1. 不指定表名的话，默认指的是filter表
2. 不指定链名的话，默认指的是所有链（此乃禁止行为！）
3. 除非设置了链的默认策略，否则必须指定匹配条件（一般都要指定匹配条件）
4. 大部分选项、所有的链名和控制类型都是大写

2.3.1 控制类型
ACCEPT ：允许数据包通过

DROP ：直接丢弃数据包，且没有任何回应信息

REJECT ：拒绝数据包通过，数据包也会被丢弃，但是会有响应的信息

SNAT ：修改数据包的源地址(source)

DNAT ：修改数据包的目的地址(destination)
 

2.3.2 常用管理选项
-A ：在链中添加一条规则，在链尾添加。

-I ：指定位置插入一条规则。

-P ：默认指定规则，链的规则一般都是设置成拒绝（默认是允许）

-D ：删除规则

-R ：修改规则（慎用）

-vnL ：-v显示详细信息，-n数字形式展示内容，-L查看

--line-numbers ：显示规则的编号，一般和查看一起使用

-F ：清空链中的所有规则（慎用）

-X ：清除自定义链中的规则
 

2.3.3 常用匹配条件
-p ：指定协议类型

-s ：指定匹配的源IP地址

-d ：指定匹配的目的IP地址

-i ：指定数据包进入本机的网络设备（指定网卡设备，如ens33）

-o ：指定数据包离开本机的网络设备

--sport ：指定源端口

--dprot ：指定目的端口

-m ：使用扩展模块，扩展模块的使用方法在2.4内容中有介绍
 2.3.4 iptables的命令格式 

注意事项：

1. [-t 表名]不指定时默认指定filter表
2. [-j 控制类型]，所有控制都要在前面 -j
3. 需要先安装iptables和iptables-services，安装完成后启动并enable服务iptables
4. 命令立即生效，不需要重启服务，重启服务会恢复默认策略

2.3.5 iptables匹配原则

1. 每个链中的规则都是从上到下的顺序依次匹配，匹配到之后就不再向下匹配。
2. 如果链中没有规则，则执行链的默认策略进行处理。

2.4 iptables实例

例：插入规则

拒绝所有主机来ping本机

在上一行后再添加一行

在第一行插入规则

指定源IP地址20.0.0.20进行控制

对多个源IP地址时，用逗号隔开

指定端口，端口要写在协议后面

拒绝指定IP20.0.0.20通过ssh服务远程登录主机

拒绝指定IP20.0.0.20获取本机的web服务

2.5 iptables的备份和保存
​ iptables 的配置文件保存在 /etc/sysconfig/iptables，每次重启服务都会重新读取配置文件里的规则

也可以通过iptables-save把当前防火墙配置保存在文件中，每次需要读取这个配置时通过iptables-restore命令获取配置，这个获取配置也是临时生效。可以配合脚本在系统启动时自动加载配置
 

2.6 iptables自定义链

创建自定义链

修改自定义链名

删除自定义链

2.7 地址转换
2.7.1 snat和dnat
snat ：源地址转换

内网—外网 ：内网IP转换成可以访问外网的IP

内网的多个主机可以只有一个有效的公网IP地址访问外部网络

dnat ：目的地址转换

外部用户，可以通过一个公网地址访问服务器内部的私网服务。

私网的IP和公网的IP做一个映射。
 

2.7.2 实验
1、test1 ：20.0.0.10 ，nginx服务

2、test2 ：两个网卡设备：

      ens33：20.0.0.254（私网的网关）
      ens36：12.0.0.254（用来模拟test3的地址是公网地址）
    模拟test1的公网IP ：10.0.0.10（test1的地址转换成10.0.0.10和test3进行通信）
3、test3 ：12.0.0.10 ，nginx服务

要求：在test2上配置防火墙，使test1作为私网地址，test3作为公网地址，观察双方获取对方web服务时，/var/log/nginx/access.log中记录的访问主机地址，理解NAT的工作方式。

对test1，test2，test3的IP地址分别设置。其中test2两个网卡的IP地址分别作为test1和test3的网关地址。

对test2：

Linux 内核参数的配置文件/etc/sysctl.conf

源地址转换：

• -t nat ：指定表为nat表
• -A POSTROUTING ：添加规则到链
• -s 20.0.0.0/24 ：指定网段
• -o ：指定输出设备
• -j SNAT ：指定控制参数SNAT
• --to 10.0.0.10 ：20.0.0.0/24网段的源地址转换为10.0.0.10这个公网IP地址

目的地址转换：

-d 10.0.0.10 ：指定作为目的地址转换的IP地址
-i ：从指定设备进入本机
-p ：指定协议
--dport ：指定端口
-j DNAT ：使用目的地址转换
--to 20.0.0.10:80 ：外网想要访问内网的20.0.0.10:80（端口号80也可以不加）的web服务，只需要访问公网的10.0.0.10这个IP地址。

2.7.3 tcpdump抓包工具

tcpdump是Linux系统自带的抓包工具。

固定抓包：

tcp ：指定抓包的协议，这个位置是第一个参数，也可以不指定
-i ：只抓经过指定设备的包
-t ：不显示时间戳（可以不加）
-s0 ：抓取完整的数据包
-c 10 ：抓几个数据包（10就是抓10个包）
dst port ：指定抓包的目的端口
src net ：指定抓包的IP网段，如果要指定主机把net改成host
-w ：保存结果到指定文件

  动态抓包：

 

 一般把抓包的记录保存在.cap文件，导出到Windows系统用wireshark之类的抓包软件分析。需要注意的是，使用wireshark分析，需要tcpdump指定选项-s0获取抓包的完整格式。