- 1、本文档共39页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第11章 网络安全技术 学习内容 网络安全概述 Linux防火墙 netfilter/iptables ARP欺骗与防御 盗链与防盗链技术 “蜜罐”技术 入侵检测技术 概述 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的必威体育官网网址性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 概述 构建网络安全系统,主要是进行认证、加密、监听,分析、记录等工作,一个全方位的安全体系应该包括: 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。 认证:良好的认证体系可防止攻击者假冒合法用户。 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 Linux防火墙 防火墙是保护主机和网络安全的一种重要设施 Linux 自带的iptables 防火墙功能非常丰富,是Linux 系统构建防火墙的首选。 netfilter/iptables IP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。 Linux防火墙 Netifilter是Linux核心中的一个通用架构,它提供了一系列的“表”(tables),每个表由若干“链”(chains)组成,而每条链中可以有一条或数条规则(rule)组成。 可以理解netfilter是表的容器,表是链的容器,而链又是规则的容器 Linux防火墙 系统缺省的表为“filter”,表中包含了INPUT、FORWARD和OUTPUT共3个链。每一条链中可以有一条或数条规则,每一条规则都定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。 当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件。如果满足条件,系统将根据该条件规则所定义的方法处理该数据包;否则继续检查下一条规则。最后,如果该数据包不符合该链中所有规则的话,系统就会根据该链预先定义的策略来处理该数据包。 iptables基础 iptables语法格式: iptables [-t 表名] 命令选项 [匹配] [-j 目标动作或跳转] 表名 -t 表名表示当前的策略属于哪个表,一共有三种表:mangle、filter和nat,由于iptables的主要工作是过滤进出本地网络适配器的数据包,因此,很自然的,如果一条策略是关于过滤的,那么在缺省情况下,“-t filter”是可以省略的,而mangle和nat是一定要注明的(在实际的应用环境当中,mangle几乎用不到) iptables基础 命令 命令指定iptables 对我们提交的规则要做什么样的操作。这些操作可能是在某个表里增加或删除一些东西,或其他动作。 iptables基础 匹配(matche) 在iptables 的一条策略中,如何匹配一个数据包是非常关键的。matche大致可以归为五类。 第一类是generic matches(通用的匹配),适用于所有的规则; 第二类是TCP matches,顾名思义,这只能用于TCP包; 第三类是UDP matches,当然它只能用在UDP包上了; 第四类是ICMP matches ,针对ICMP包的; 第五类比较特殊,针对的是状态(state),所有者(owner)和访问的频率限制(limit)等。 通用匹配:无论使用的是何种协议,也不管装入了匹配的何种扩展,通用匹配都是可用的。也就是说,它们可以直接使用,而不需要什么前提条件,有很多匹配操作是需要其他的匹配作为前提的。 iptables基础 iptables基础 iptables 实例 将FORWARD链的默认策略设置为DROP iptables -P FORWARD DROP 允许协议为tcp目标端口为80的且从外网接口eth3进入的数据包通过本防火墙,即开放对内网www服务的请求。 iptables -A FORWARD -i eth3 -p tcp --dport 80 -j ACCEPT 允许内网www服务的应答包通过本防火墙,即开放内网www服务
您可能关注的文档
最近下载
- 北部湾开发和深圳开发十大对比整理.pdf
- 水闸工程安全运行监督检查规范化指导手册(2022年版).doc
- 2024年疾控大学习国内外传染病监测预警案例分析答案.docx VIP
- 2024年人教版二年级上册数学期末培优及答案.doc VIP
- 丽声北极星分级绘本第四级上 Lorna Is Upset课件.pptx
- 宏基因组测序病原微生物检测生物信息学分析规范化管理专家共识.pdf VIP
- 《弹性力学》试题参考答案与弹性力学复习题集.doc
- 治疗作业活动篮球作业.pptx VIP
- 省第三批基础教育小学道德与法治学科教学研究基地学校实施方案——正德厚生 铺就人生底色.doc VIP
- AIDC基础设施建设白皮书 2024.docx
文档评论(0)