防火墙概念

  1.什么是防火墙

    防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬体装置,帮助计算机网路于其内、外网之间构建一道相对隔绝的保护屏障,以保护使用者资料与资讯保安性的一种技术。

    其主要功能是防止恶意访问。

  2.防火墙的分类

    1.硬体防火墙

      在专用硬体级别实现部分功能的防火墙,如F5。

      硬体防火墙的效能高,但是成本也高。

    2.软件防火墙

      运行于通用硬体平台之上的防火墙的应用软件,如iptables,firlwalld。

      软件防火墙的效能较低,但是成本低。

Iptables

  1.Iptables介绍

      iptables是一种包过滤防火墙,通过系统内设定的过滤逻辑(表)在网路层对资料包进行选择。

  2.Iptables命令如何生效

      使用者呼叫Iptables,通过核心介面来操作ip_tables核心模组,再通过ip_tables核心模组来修改Netfilter(系统安全框架),实现在网路层对资料包的过滤。

  3.四表五链

    1.四表

      表是某些功能的集合,四表是Iptables的主要功能。

      1.filter:主要负责过滤功能。

      2.nat:负责网路地址的转换

      3.mangle:负责修改资料包内容

      4.raw:负责资料包的追踪

    2.五链

      链指的是某个位置,他不具备功能,但是可以是某个表发挥功能。

      1.PREROUTING:主机外报文进入的位置,允许的表mangle,nat。

      2.INPUT:报文进入本机使用者空间的位置,允许的表filter,mangle。

      3.OUTPUT:报文从本机使用者空间出去的位置,允许的表filter,mangle,nat。

      4.FOWARD:报文经过路由发觉不是本机决定转发但还没从网络卡发出,允许的表filter,mangle。

      5..POSTROUTING:报文经过路由被转发出去,允许的表mangle,nat。

  4.Iptables流程

    Iptables的流程分为3类

    1.流入本机

      当外部的资料通过网络卡进入本机后,在网路层时会经过PREROUTING链,在经过了PREROUTING链继续前进到达使用者层之前,会经过INPUT链。

      过程可简写为A ——> PREROUTING ——> INPUT ——> B

    2.流出本机

      当用户从使用者层发出资料之后,会先经过OUTPUT链,在经过了了OUTPUT链到达路由转发之前会经过POSTROUTING链,之后再发送出去。

      该过程可简写为:A ——> OUTPUT ——> POSTROUTING ——> B

   3.经过本机

      本机作为中转时,报文的最终目的并不是本机,在经过PREROUTING链进入本机发现最终目的不是本机时被转到FORWORD链,经过FORWORD链后经过POSTROUING链转发出去。

      该过程可简写为:A ——> PREROUTING ——> FORWARD ——> POSTROUTING ——> B

    3.表所在的链

      filter可能在的链:INPUT、OUTPUT、FORWARD

      nat可能在的链:PREROUTING、OUTPUT、POSTROUTING

      raw可能在的链:PREOUTING、OUTING

      mangle可能在的链:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING