RHEL6Linux安全应用

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,轻舞飞扬,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,RHEL6_Linux,安全,应,应用,轻舞,飞,飞扬,第六,章,章,iptables,防火,墙,墙（,一,一）,理论,部,部分,熟悉,Linux,防火,墙,墙的,表,表、,链,链结,构,构,理解,数,数据,包,包匹,配,配的,基,基本,流,流程,学会,编,编写,iptables,规则,技能,展,展示,本章,结,结构,iptables,防火墙,(,一,),iptables,的表、链结构,数据包控制的匹配流程,添加、查看、删除规则,规则的匹配条件,Linux,防火墙基础,基本语法、控制类型,编写防火墙规则,netfilter,位于,Linux,内核,中,中的,包,包过,滤,滤功,能,能体,系,系,称为,Linux,防火,墙,墙的,“,“内,核,核态,”,”,iptables,位于,/sbin/iptables,，用,来,来管,理,理防,火,火墙,规,规则,的,的工,具,具,称为,Linux,防火,墙,墙的,“,“用,户,户态,”,”,上述,2,种称,呼,呼都,可,可以,表,表示,Linux,防火,墙,墙,Linux包,过,过滤,防,防火,墙,墙概,述,述2-1,包过,滤,滤的,工,工作,层,层次,主要,是,是网,络,络层,，,，针,对,对,IP,数据,包,包,体现,在,在对,包,包内,的,的,IP,地址,、,、端,口,口等,信,信息,的,的处,理,理上,Linux包,过,过滤,防,防火,墙,墙概,述,述2-2,链路,层,层,网络,层,层,传输,层,层,应用,代,代理,链路,层,层,网络,层,层,传输,层,层,应用,层,层,链路,层,层,网络,层,层,传输,层,层,应用,层,层,外部,网,网络,网络,层,层防,火,火墙,受,保,保,护,护,网,网,络,络,规则链,规则的,作,作用：,对,对数据,包,包进行,过,过滤或,处,处理,链的作,用,用：容,纳,纳各种,防,防火墙,规,规则,链的分,类,类依据,：,：处理,数,数据包,的,的不同,时,时机,默认包,括,括,5,种规则,链,链,INPUT,：处理,入,入站数,据,据包,OUTPUT,：处理,出,出站数,据,据包,FORWARD,：处理,转,转发数,据,据包,POSTROUTING,链：在,进,进行路,由,由选择,后,后处理,数,数据包,PREROUTING,链：在,进,进行路,由,由选择,前,前处理,数,数据包,iptables的,表,表、链,结,结构3-1,规则表,表的作,用,用：容,纳,纳各种,规,规则链,表的划,分,分依据,：,：防火,墙,墙规则,的,的作用,相,相似,默认包,括,括,4,个规则,表,表,raw,表：确,定,定是否,对,对该数,据,据包进,行,行状态,跟,跟踪,mangle,表：为,数,数据包,设,设置标,记,记,nat,表：修,改,改数据,包,包中的,源,源、目,标,标,IP,地址或,端,端口,filter,表：确,定,定是否,放,放行该,数,数据包,（,（过滤,）,）,iptables的,表,表、链,结,结构3-2,默认的,表,表、链,结,结构示,意,意图,iptables的,表,表、链,结,结构3-3,filter,表,第,1,条规则,第,第,2,条规则,第,第,3,条规则,INPUT,链,FORWARD,链,OUTPUT,链,mangle,表,PREROUTING,链,POSTROUTING,链,INPUT,链,OUTPUT,链,FORWARD,链,raw,表,PREROUTING,链,OUTPUT,链,nat,表,PREROUTING,链,POSTROUTING,链,OUTPUT,链,规则表之间,的,的顺序,r,aw,mangle,nat,filter,规则链之,间,间的顺序,入站：,PREROUTING,I,NPUT,出站：,OUTPUT,POSTROUTING,转发：,PREROUTING,FORWARD,POSTROUTING,规则链内,的,的匹配顺,序,序,按顺序依,次,次检查，,匹,匹配即停,止,止（,LOG,策略例外,）,）,若找不到,相,相匹配的,规,规则，则,按,按该链的,默,默认策略,处,处理,数据包过,滤,滤的匹配,流,流程2-1,匹配流程,示,示意图,数据包过,滤,滤的匹配,流,流程2-2,本机的应用进程,mangle,：,POSTROUTING,mangle,：,FORWARD,raw,：,PREROUTING,raw,：,OUTPUT,mangle,：,INPUT,转发数据流向,入站数据流向,网络,A,网络,B,mangle,：,PREROUTING,nat,：,PREROUTING,nat,：,POSTROUTING,filter,：,INPUT,mangle,：,OUTPUT,nat,：,OUTPUT,filter,：,OUTPUT,路由选择,filter,：,FORWARD,路由选择,出站数据流向,请思考：,Linux,防火墙默,认,认包括哪,几,几个表、,哪,哪几种链,？,？,对于转发,的,的数据包,，,，会经过,哪,哪几种链,的,的处理？,在同一个,规,规则链内,，,，规则匹,配,配的特点,是,是什么？,小结,语法构成,iptables-t,表名,选项,链名,条件,-j,控制类型,iptables,的,的基本语,法,法2-1,rootlocalhost#,iptables-tfilter-I INPUT-p icmp-j REJECT,C:UsersAdministrator,ping192.168.4.254,正在,Ping192.168.4.254,具有,32,字节的数,据,据,:,来自,192.168.4.254,的回复,:,无法连到,端,端口。,来自,192.168.4.254,的回复,:,无法连到,端,端口。,阻止,ping,测试,几个注意,事,事项,不指定表,名,名时，默,认,认指,filter,表,不指定链,名,名时，默,认,认指表内,的,的所有链,除非设置,链,链的默认,策,策略，否,则,则必须指,定,定匹配条,件,件,选项、链,名,名、控制,类,类型使用,大,大写字母,，,，其余均,为,为小写,数据包的,常,常见控制,类,类型,ACCEPT,：允许通,过,过,DROP,：直接丢,弃,弃，不给,出,出任何回,应,应,REJECT,：拒绝通,过,过，必要,时,时会,给出提示,LOG,：记录日,志,志信息，,然,然后传给,下,下一条规,则,则,继续匹配,iptables,的,的基本语,法,法2-2,添加新的,规,规则,-A,：在链的,末,末尾追加,一,一条规则,-I,：在链的,开,开头（或,指,指定序号,）,）插入一,条,条规则,iptables,的,的管理选,项,项5-1,rootlocalhost#,iptables-tfilter-AINPUT-ptcp-jACCEPT,rootlocalhost#,iptables-IINPUT-pudp-jACCEPT,rootlocalhost#,iptables-IINPUT2-p icmp-j ACCEPT,-p,用来指定,协,协议,查看规则,列,列表,-L,：列出所,有,有的规则,条,条目,-n,：以数字,形,形式显示,地,地址、端,口,口等信息,-v,：以更详,细,细的方式,显,显示规则,信,信息,-line-numbers,：查看规,则,则时，显,示,示规则的,序,序号,iptables,的,的管理选,项,项5-2,rootlocalhost#,iptables-LINPUT-line-numbers,ChainINPUT(policy ACCEPT),numtargetprotoptsourcedestination,1ACCEPTudp-anywhereanywhere,2ACCEPTicmp-anywhereanywhere,3REJECTicmp-anywhereanywherereject-withicmp-port-unreachable,4ACCEPTtcp-anywhereanywhere,rootlocalhost#,iptables-n-LINPUT,ChainINPUT(policy ACCEPT),targetprotopt sourcedestination,ACCEPTudp-0.0.0.0/00.0.0.0/0,ACCEPTicmp-0.0.0.0/00.0.0.0/0,REJECTicmp-0.0.0.0/00.0.0.0/0reject-withicmp-port-unreachable,ACCEPTtcp-0.0.0.0/00.0.0.0/0,-n-L,可合写,为,为,-nL,删除、,清,清空规,则,则,-D,：删除,链,链内指,定,定序号,（,（或内,容,容）的,一,一条规,则,则,-F,：清空,所,所有的,规,规则,iptables的,管,管理选,项,项5-3,rootlocalhost#,iptables-DINPUT3,rootlocalhost#,iptables-n-LINPUT,ChainINPUT(policy ACCEPT),targetprotopt sourcedestination,ACCEPTudp-0.0.0.0/00.0.0.0/0,ACCEPTicmp-0.0.0.0/00.0.0.0/0,ACCEPTt