安全体系以及防火墙简介

安全体系 从如下五个方面来学习：底层硬件、基础设施、应用环境、业务环境、运营维护

底层硬件：购买质量合格的设备

基础设施：版本合适、软件安装、系统优化、网略配置等

应用环境：软件版本、防火墙、安全插件、软件集成等

业务环境：代码研发、代码管理、配置管理、测试管理、持续集成、持续发布等

运营维护：监控方案、数据分析方案、开发模型、风险评估等

 

防火墙主要处理主机之间的通讯数据流量问题（对数据包进行处理->数据加密-数据解密）

防火墙分类：

 

基于功能角色：

1.主机防火墙：工作对象以及作用的对象指的都是服务器主机，针对范围比较小

2.网络防火墙：一般处于网络入口或者出口，对网络数据的流入和流出进行管控，作用的对象一般是局域网内或者外部的大量服务器主机，针对的范围比较大。

基于实现方式：

1.硬件防火墙：基于基础的物理硬件和配套的软件功能实现高质量的安全管控措施，性能高，成本高

2.软件防火墙：操作系统级别的应用软件结合内核模块或者其他方式实现数据层面的安全管控措施，适用范围广，方式多样，成本低，但是学习成本高。

基于实现细节：

1.包过滤防火墙：根据用户定制的关键字，检查数据包的网络信息，不检查具体数据，应用层控制比较弱。

2.应用网关防火墙：根据用户定制的关键字，检查数据包的数据信息，检查IP、TCP报头，网络层控制比较弱。

3.状态监测防火墙：基于简单包过滤防火墙，增强数据包的网络状态信息监测，应用层控制比较弱。

4.复合型防火墙：综合性的防火墙，可以检查整个数据包内容，具备网络层和引用层控制，兼有会话层控制措施。

 

数据进行层层封装

应用层：最原始的数据

传输层：UDP首部-源主机端口和目标主机端口信息

网络层：IP首部-源IP地址和目标IP地址信息

网络接口层：以太网帧头-源主机的MAC信息和目标主机的MAC信息

【iptables软件】就是一款优秀的基于包过滤的防火墙工具，可以实现对服务主机间传输的数据包进行精细化管控。功能强大且非常灵活，最主要是免费。

防火墙功能

分层管控：

数据链路层：mac

网络层：IP报文首部 

                souce ip address 

                destination ip address

                protocol        

传输层：

            TCP、UDP报文首部，依赖IP首部中的Protocol

            source port

            destination port

 

 

 应用层：

           数据内容（规则）

数据包过滤：

netfilter：专用数据包处理模块。

数据流程图如下图所示

 

 

 数据包过来：prerouting

本机处理：input

本机转发：forward

本机响应：output

数据包出去：postrouting

三种数据场景：

1.本机接收数据包：prerouting--input

2.本机转发数据包：prerouting--forward--postrouting

3.本机响应数据包：output-postrouting