Güvenlik duvarı ve NAT hizmetlerini açıklayan ayrıntılı grafikler ve metin
1. Giriş
1. Güvenlik duvarı hakkında
Güvenlik duvarı aslında Linux altında erişim kontrol işlevini uygulamak için kullanılır ve iki türe ayrılır: donanım ve yazılım güvenlik duvarları. Hangi ağda olursa olsun, güvenlik duvarının çalıştığı yer ağın ucunda olmalıdır. Görevimiz, güvenlik duvarının nasıl çalıştığını tanımlamaktır.Bu, IP'yi ve ağa giren ve çıkan verileri algılayabilmesi için güvenlik duvarının stratejisi ve kurallarıdır.
Şu anda piyasada, ağ katmanı güvenlik duvarları adı verilen üç veya dört güvenlik duvarı katmanı ve aslında proxy katmanındaki ağ geçitleri olan yedi güvenlik duvarı katmanı bulunmaktadır. Yedi katmanlı TCP / IP modeli için, üçüncü katmanın ağ katmanı olduğunu ve üç katmanlı güvenlik duvarının bu katmanda kaynak ve hedef adresleri algılayacağını biliyoruz. Ancak yedi katmanlı bir güvenlik duvarı için, kaynak bağlantı noktanız veya hedef bağlantı noktanız, kaynak adresiniz veya hedef adresiniz ne olursa olsun, sahip olduğunuz her şey kontrol edilecektir. Bu nedenle, tasarım ilkeleri açısından, yedi katmanlı güvenlik duvarı daha güvenlidir, ancak bu daha düşük verimlilik sağlar. Bu nedenle, piyasadaki olağan güvenlik duvarı çözümleri bu ikisinin birleşimidir.
2. iptable'ların geliştirilmesi
İptables ve öncülleri de dahil olmak üzere, bunlar kullanıcı alanında çalışan ve kuralları tanımlayan araçlardır ve kendileri güvenlik duvarı değildir. Tanımladıkları kurallar çekirdek alanında "Netfilter" tarafından okunabilir, böylece güvenlik duvarı çalışabilir. Çekirdeğe yerleştirildiği yer belirli bir konum olmalı ve TCP / IP protokol yığınının-Netfilter'ı geçtiği yer olmalıdır.
Iptables yalnızca bir güvenlik duvarı yönetim aracıdır ve çekirdekteki gerçek güvenlik duvarı işlevi Netfilter'dir.
Linux için, TCP / IP protokol yığını çekirdekte mevcuttur; bu, veri mesajlarının işlenmesinin çekirdekte işlendiği anlamına gelir; bu, güvenlik duvarının çekirdekte çalışması ve güvenlik duvarının çekirdekte TCP'yi tamamlaması gerektiği anlamına gelir. / IP paketleri pozisyona akar, kontrol etmek için kuralları kullanın, gerçekten işe yarayabilir.
3. iptables'ın yapısı
Yukarıdaki geliştirmeden, yazarın kontrol yeri olarak beş yeri seçtiğini biliyoruz, ancak ilk üç konumun yolu temelde tamamen engelleyebileceğini keşfettiniz, ancak neden giriş ve çıkışta zaten ayarlanmışlar? Seviyeden sonra seviyeyi dahili olarak ayarlamalı mıyım? Veri paketi henüz yönlendirme kararları vermediğinden ve verilerin nereye gittiği bilinmediğinden, verileri içe ve dışa aktarmada filtrelemenin bir yolu yoktur. Bu nedenle, yönlendirme seviyesi, çekirdek alanında, kullanıcı alanına giriş seviyesi ve kullanıcı alanından çıkış seviyesi ayarlanmalıdır. Öyleyse, hiçbir faydası olmadığına göre, onları neden yerleştirelim? Çünkü NAT / DNAT durumunda, hedef adres çevirisinin yönlendirmeden önce çevrilmesi gerekir. Bu nedenle, kontrol noktasını harici ağın arayüzünde ve ardından dahili ağda ayarlamalıyız. Netfilter tarafından belirtilen beş konum aynı zamanda beş kural zinciri olarak da adlandırılır:
İptable'ın yapısı: Paket filtreleme tablosunda kurallar gruplandırılır ve zincir dediğimiz şeye yerleştirilir. Zincir, bir kurallar listesidir (şekilde gösterildiği gibi).
İki, izle ve zincirle
Linux güvenlik duvarı kurmak için kuralları kullanmanız gerekir Her kural pakette neyin eşleştirileceğini ve paketle ne yapılacağını belirtir. O halde kurallar nelerdir? İptables bir paket filtreleme mekanizması kullandığından, paketin başlık verilerini analiz eder. Başlık verilerine ve tanımlanan kurallara göre veri paketinin geçip geçemeyeceği veya atılıp atılamayacağı belirlenir. Yani önceden tanımlanmış kuralın içeriği ile "karşılaştırılacak" veri paketinin analiz verilerine göre, veri paketinin verileri kuralın içeriğiyle eşleşiyorsa, karşılık gelen işlem gerçekleştirilir, aksi takdirde bir sonraki kuralın karşılaştırmasına devam edilir. Odak noktası karşılaştırma ve karşılaştırma sırasıdır.
Saatler ve zincirler nedir? Bu iptables adıyla başlıyor, neden iptables deniyor? Birden çok tablo içerdiğinden, her tablo kendi varsayılan ilkelerini ve kurallarını tanımlar ve her tablonun farklı bir amacı vardır. iptables dört tablo ve beş zincir içerir. Tablo, veri paketinin işleme fonksiyonuna göre ayırt edilir ve zincir farklı kanca noktalarına göre ayırt edilir.Tablo ve zincir aslında ağ filtresinin iki boyutudur.
Dört kural tablosu şunlardır: Filter, NAT, Mangle, Raw ve varsayılan tablo Filter'dir (tablo belirtilmezse, bu Filter tablosudur). Tablonun işlem önceliği: Ham > Mangle > NAT > Filtrele
Yaygın olarak kullanılan üç tablo:
Üç, iş akışı
iptables bir veri paketi filtreleme mekanizması kullanır, bu nedenle veri paketinin başlık bilgisini analiz eder ve veri paketinin işlenip işlenmeyeceğini belirlemek için önceden belirlenmiş kurallarımıza göre eşleşir.
Güvenlik duvarı katman katman filtreler, aslında eşleştirme kurallarının sırasına göre yukarıdan aşağıya ve önden arkaya filtreler. Kural eşleşirse, yani engellenip engellenmediği açıkça belirtilirse, paket aşağı doğru eşleştirilmeye devam etmeyecektir. İşleme sonucu kuralda açıkça belirlenmemişse, yani mevcut kuralla eşleşmiyorsa, varsayılan kuralla eşleşene kadar eşleştirmeye devam edin ve nihai işleme sonucunu alın. Bu yüzden kuralların sırası çok önemlidir.
Güvenlik duvarının varsayılan kuralı, tüm kurallar eşleşmediğinde yürütülecek kuraldır. sonra.
Genel işlem seçeneklerine komut verin:
Yaygın olarak kullanılan paket karşılaştırma parametreleri:
Diğer seçenekler:
İşlem örneği: SSH uzaktan oturum açmayı yasakla
Not: Komut satırı aracılığıyla eklenen güvenlik duvarı komutları yalnızca geçici olarak etkilidir ve sistem yeniden başladığında geçersiz hale gelir.
İşleme eylemleri şunları içerir:
Talimat formatının şematik diyagramı:
İki artırma kuralı seçeneği arasındaki fark:
-A zincir kuralı belirtimi: Belirtilen kural zincirinin sonuna bir kural ekleyin ve son kural olun.
-I zincir kuralı spesifikasyonu: Sıra numarası belirtilmezse, eklenen kural ilgili zincirdeki ilk kural olur. Bir sıra numarası belirtilirse, bu sıra numarası için kural haline gelir ve başlangıçta bu sıra numarası üzerinde bulunan kural bir basamak geriye taşınır.
İşlem örneği: Bu makineye PING işlemi yapılamaz (ping komutu ICMP protokolüne aittir ve türü "8" dir)
Dört, iş vakası
1. Yapılandırma durumu açıklaması
Üretim ortamında güvenlik duvarlarını yapılandırmanın iki ana modu vardır: parkı ziyaret etmek ve film izlemek
-
Park moduna gidin: varsayılan olarak rasgele girin ve çıkın ve yasa dışı öğeleri reddedin. Kurumsal uygulama: Kuruluş, İnternet ağ geçidi yolunu yapılandırır.
-
Film modu: Varsayılan olarak, biletsiz giremezsiniz ve sinemaya yalnızca bir bilet ödeyerek girebilirsiniz. Kurumsal uygulama: sunucu güvenlik duvarı.
İkinci modun daha sıkı ve daha güvenli olduğu görülebilir. Temel fark, güvenlik duvarının varsayılan kurallarının izin verip vermemesidir.
Kurumsal mülakat soruları: "syn" saldırılarıyla başa çıkmak için özel zincir
2. Güvenlik duvarı işyerinde nasıl korunur?
Gerçek üretimde, genellikle ilk kez kural ekleme komut satırı veya komut dosyası şeklinde yapılır ve daha sonra bir seferde bir yapılandırma dosyası olarak kaydedilir Sonraki bakım çalışmaları, yapılandırma dosyasının değiştirilmesi etrafında gerçekleştirilir.
3. Ağ geçidini yapılandırın
Adım 1: Öncelikle, ağ geçidi olarak ana bilgisayar çift ağ kartına sahip olmalı ve İnternet'e ve diğer fiziksel koşullara bağlanabilmelidir, aynı zamanda çekirdeğin yönlendirme işlevinin açık olduğundan emin olmalıdır. Ayrıca, geçişe izin vermek için Filtre tablosunun "İLERİ" zinciri gereklidir.
Adım 2: Ağ geçidi ana bilgisayarının ilgili modüllerinin yüklendiğinden emin olun
Adım 3: Dahili ağ sunucusu, ağ geçidi ana bilgisayarının dahili ve harici ağ kartlarına ping atabilmelidir. Adım 4: Ağ geçidi ana bilgisayarında kuralları yapılandırın (iki yöntem).
Bu noktada, Linux ağ geçidi ana bilgisayarı yapılandırılır.
Diğer bir uygulama, harici IP adresini ve bağlantı noktasını dahili sunucunun adresi ve bağlantı noktasıyla eşleştirmektir (paylaşılan İnternet ortamı ile aynı).
İddia:
Kurumsal uygulama senaryoları:
-
Harici ağın IP'sine ve bağlantı noktasına erişme isteğini, dahili ağdaki (dahili kuruluş) belirli bir sunucunun adresi ve belirlenmiş bağlantı noktasıyla eşleyin.
-
LVS / Nginx harici ağının VIP ve bağlantı noktası 80'e erişim isteğini IDC yük dengeleme sunucusunun dahili IP'sine ve belirlenen bağlantı noktasına eşleyen donanım güvenlik duvarı (IDC bilgisayar odasında çalışma) İşletmelerdeki iptables uygulamalarının özeti:
-
Linux ana bilgisayar güvenlik duvarı (tablo: Filtre
-
İntranette İnternet erişimini paylaşmak için ağ geçidi (tablo: NAT, zincir: POSTROUTING)
-
Dışarıdan içeriye bağlantı noktası eşleştirme (tablo: NAT, zincir: PREROUTING)
Adres segmentini belirtin
4. Bağlantı Noktası Eşleme
Bağlantı izleme tablosu dolu ve paket kaybını başlatmanın çözümü: 1. Güvenlik duvarını kapatın. Basit ve kaba, doğrudan ve etkili 2. Güvenlik duvarı izleme tablosunun boyutunu artırın ve ilgili sistem parametrelerini optimize edin
