一、何为防火墙？

所谓防火墙也称之为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则，允许或者限制网络报文通过。在这里主要通过iptables工具添加“规则”，Linux主机防火墙由用户态iptables工具+内核态netfilter模块来实现。

说到linux主机防火墙iptables的设置之前，先来理解下所谓的4表5链N规则是个什么梗？

我们先来看看， 当客户端浏览器去访问web服务器的时候， 一个客户端的数据报文和服务器的交互流程就如下图所示：

所以为了使防火墙达到包过滤的目的， 我们需要在数据报文流经的路径上，设置一些关卡： 只有让所有进出的报文都流经这些关卡中， 同时我们在关卡上设置一些条件， 报文经过检查后，符合放行条件的才给放行, 而那些不符合不达标的条件的报文则会被阻止，不能够放行。

在Linux主机中的防火墙“iptables”中，关卡就称之为“链”，所谓的条件就称之为“规则”，根据题目要求所说的配置使用防火墙，其意思就是在相应的链中添加规则。

二、4表5链N规则：

1、Linux主机防火墙中设置了有5道关卡，即“5链”：

这个linux主机设置的5道关卡中，分别对应有：

1. INPUT（输入）；
2. OUTPUT（输出）；
3. PREROUTING（路由前）；
4. FORWARD（转发）；
5. POSTROUTING（路由后）。

目前要用到的有 input 和 output 两个链，其他三个链是作为一些网关路由器设备时才会使用，就先暂且不说。

而组合完整的一个数据报文的场景如下图所示：

根据实际的场景，数据报文的流向:

1. PREROUTING -> INPUT（外网 到本机的报文）；
2. PREROUTING -> FORWARD -> POSTROUTING（由本机路由器 转发的报文） ；
3. OUTPUT -> POSTROUTING（本机进程发出的报文）；

2、链和规则之间的关系：

规则：就是是满足某个条件，就做什么事情，由条件+操作组合而成。其操作 ： -j ACCEPT|DROP（允许/不允许）来表示。

每个关卡中可以设置多条“规则”， 所谓的“链”即是“关卡”，就是每一个关卡中由多条规则串在一起的就叫“链”，如下图所示：

3、何为4表？

首先，我们先得知道防火墙的作用：它就是对经过的报文匹配一定的“规则”， 然后执行对应的操作，比如放行或是阻拦。

在有些场景中，为了实现特定的功能，就需要在几个不同关卡中去配置相应的规则，而这几个不同关卡就统称为“表”。

Linux主机系统中内置的有4个表，分别如下所示：

1. filter： 数据包过滤、 INPUT、FORWARD、OUTPUT ；
2. nat：网络地址转换（映射）、PREROUTING、INPUT、OUTPUT、POSTROUTING；
3. mangle：报文拆解、修改报文并重新封装：PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING；
4. raw：关闭链接追踪机制等、PREROUTING、INPUT、OUTPUT。

注：新版内核中增加内置表 security，同时 这里只讲下其中一个表“filter”。

4表5链N规则的之间构成的关系如下图所示：

以及各个表之间的链是按照一定顺序进行来判断的，如下图所示：

三、防火墙iptables运用：

在遇到有不知如何操作的，可以通过iptables -h命令查看帮助，找到对应的解决方法。

我这里先打开看看我们原始的iptables配置，可以通过命令iptables -L进行查看。

1、"-A"追加：

这上面是原始的，没配置过的，现在，比如我们在服务器80端口上面部署了一个网站，我想让其添加一条规则，以至于让大家都访问不了这个网站怎么办？这时候可以通过以下命令来达到要求：

iptables -t filter -A INPUT -p tcp --dport 80 -j DROP

其意思就是往iptables防火墙中的filter表里的INPUT链追加一条规则，协议是TCP的，并且目的地址是80端口的就丢弃掉。

2、查看行号：

或者查看对应的行号，通过以下命令：

iptables -t filter -L --line-numbers

3、"-D"删除：

知道了行号，可以通过删除对应的行号，以下命令实现：

iptables -t filter -D INPUT 1 

结果，删除成功：

此“D”为删除某个链中的第几条规则。

4、"-I"插入：

有删除，既有插入规则，可以通过以下命令实现：

iptables -t filter -I INPUT 1 -p tcp --dport 80 -j ACCEPT

5、"-R"替换：

也可以通过 “-R” 将某个链中的第几条规则替换成新的规则，通过以下命令：

iptables -t filter -R INPUT 2 -p tcp --dport 23 -j ACCEPT

没替换之前：

替换之后：

6、"-F"清空：

作用：清空某个链的规则，如果链的参数没有给定，那么就清空整个表，命令如下：

iptables -t filter -F INPUT 

如今，整个表清空之后已恢复初始的样子：

注：如果 iptables -t filter -F（后面不带任何对应的链），则清空整个表。

当然条件中，还有涉及到以下条件：

• -s 源ip地址：匹配ip报文源地址是某个IP；
• -d 目的ip地址：匹配ip报文目的地址是某个IP；
• -p <协议>：如-p tcp|udp等等；
• 扩展的选项，判断端口号：如--dport 目标端口号，--sport 源端口号；
• -i 网卡名：从哪个网卡流入的报文；
• -o 网卡名：从哪个网卡流出的报文。

例如：

开放 80端口给所有请求，命令可以这样：

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 80 -j ACCEPT

假设有一条堡垒机的ip地址为192.168.1.1，那么开放23端口给堡垒机的命令则可以这么写：

iptables -t filter -A INPUT -s 192.168.1.1 -p tcp --dport 23 -j ACCEPT
iptables -t filter -A OUTPUT -d 192.168.1.1 -p tcp --sport 23 -j ACCEPT

以及禁止所有请求访问，可以设置所有链中的默认策略为DROP，这里仅设为INPUT的默认策略为DROP，命令则可以这样：

iptables -t filter -P INPUT DROP 

以上等等条件，根据不用情况具体问题具体分析。

防火墙的iptables规则的判断顺序是从第一条开始一条条往下判断的，如果条件匹配就执行对应的操作，则不会再继续往下走。

四、对于ping攻击如何防护？

有一种低级的DDoS攻击，像这种通过ping -s <数量> <ip>也会导致服务器损失网络流量资源以及cpu计算资源的危害，icmp 8号类型的请求其实就是 icmp echo-request ,，直接拒绝掉。

可以通过命令设置：

iptables -t filter -A INPUT -p icmp --icmp-type 8 -j DROP

同时出去的报文如果是icmp echo-reply类型（0号） ，也是要禁止的，可以命令设置为：

iptables -t filter -A OUTPUT -p icmp --icmp-type 0 -j DROP

最后，也可以通过配置服务器，来关闭ping的echo报文的响应，命令则可以这样：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 

五、防火墙iptables如何进行导出与导入？

1、导出：

比如通过这串命令：

iptables-save > /要保存的文件路径/iptables.rule

2、导入：

通过这串命令：

iptabels-restore < /之前所保存的文件路径/iptables.rule

就可以看到之前所配置的规则了，保存导出的数据相当于备份了一份文件。

六、安全审计：

什么是安全审计？

[安全审计就是一种事后追踪技术，比如被入侵了，从内核中去监控用户的行为，记录用户的敏感操作，也并不是要将用户的所有操作都记录下来，仅只需要记录敏感信息。]

在对这个工作进行前，需要安装安全审计服务的工具“auditd”，如果Linux中没有自带，可以自行安装即可，安装之前，先更新一下源：通过命令：

apt-get update

安装步骤如下：

第一步安装：

sudo apt install auditd

我之前安装过了，所以显示：

第二步启动审计服务：

sudo /etc/init.d/auditd start 或者通过 systemctl status auditd.service

这代表启动成功的界面：

第三步验证安装是否成功？能够看到 auditd 就行：

ps aux | grep audit

七、安全审计使用：

工具安装好了之后，现在是配置文件环节，配置文件有个注意的地方，不看清楚的话，也算是个[小坑]。

注意：这个小坑在于配置文件的文件路径是在这个目录下的：/etc/audit/rules.d/audit.rules，而非 /etc/audit/audit.rules 文件目录下，因为这个文件是最后生成的临时文件，每次重启服务都会重新生成一个，就是你每次配置设置这个文件之后，每当重启服务后，发现修改是无效的。

查看日志动态的文件可以通过进入：/var/log/audit/ ，然后执行命令：

tail -f audit.log

通过查看 /var/log/audit/audit.log 日志来确定用户的行为，包括可以查看其日志类型包含了时间戳，对应的进程号、用户id、组id、终端id，执行的命令以及命令的地址以及关键字等。如果多个用户同时ssh连接，每个ssh连接对应终端号也不一样。

比如通过这个命令可以查看对应的时间：

date -d "@1635082742.047" 

1、auditctl用法：

审计服务的核心控制命令，audit.rulese就是要使用这个命令来加载配置规则的。

通过auditctl -w 文件名..... -p 权限 -k 关键字。

注意：这个同样也是一个临时文件，重启audit后也会不存在，最终还是需要到这个 /etc/audit/rules.d/audit.rules 文件里去配置。

所以我这里先添加一条审计规则

auditctl -w /home/arveycheung/software/test/testss.txt -p rwxa -k hello

以下有三个命令：

1. auditctl -l：可以查看当前生效的规则；
2. auditctl -s：可以查看审计服务的运行状态；
3. auditctl -D：可以清空当前审计服务生效的规则。

效果如下所示：

2、ausearch的使用：

作用：依赖审计日志来进行日志查找，以下有三个命令方法的实现：

（1）、ausearch -k keyname : 可以查看关键字key相关的内容；

（2）、ausearch -f filename : 可以查看和文件相关内容；

（3）、ausearch -ui uidtext : 可以查看某个用户id相关内容。

这里内容过多就不截图了。

3、aureport的使用：

作用：依赖审计日志来产生一个报告，正常的审查流程是先查看报告的，若报告有问题再去查看具体的日志信息。

（1）、通过这个 [ aureport ] 命令得到如下信息；

（2）、通过这个命令 [ aureport -au ] 可以查看和鉴权相关的信息；

（3）、通过这个命令 [ aureport -m ] 可以查看和账户修改相关的信息；

八、总结：

除了有iptables防火墙之外，还有一种轻量级别的防火墙“tcpwrapper”，使用前提，服务可执行程序需要连接了libwrap.so动态库，对于一些人来说很麻烦。总而言之，能用iptables防火墙尽量就用iptables吧。