防火墙

1、Linux 系统结构，在X86平台的CPU，是如何执行内核程序和用户程序的
ring0：（执行与硬件相关或者硬件寄存器相关或者总线控制相关的程序）
ring1-2：（驱动程序或者与虚拟化相关的程序）
ring3：（执行用户态的程序）

2、防火墙基础
从逻辑上分类：

网络防火墙：针对网络入口进行防护。
主机防火墙：针对单个主机进行防护。

从物理上分类：

硬件防火墙：在硬件级别实现部分防火墙功能。性能高，成本高
软件防火墙：应用软件处理逻辑运行于通用应用平台上的防火墙。性能低，成本低。

网络安全的知名企业：深信服，思科，天融信
硬件防火墙：

                思科（AIR-CT5508-300-K9）
                华为（USG6670）

3、四表，五链
四表：

filter, (INPUT,FORWARD,PUTPUT)  *负责过滤功能*
nat ,(PREROUTING,POSTROUTING,OTPUT)  *网络地址转换功能*
raw,(PREOUTING,OUTPUT)  *关闭nat表上的连接追踪机制*
mangel(五条链都存在)  *拆解报文，做出修改，并重新封装的功能*

五链：

INPUT,
OUTPUT,
PREROUTING,
FORWARD,
POSTROUTING。

四表在同一条链中有顺序：
raw （锁定转发）> mangle（拆解报文） > nat （网络地址转化）>filter(过滤)

4、防火墙配置(先全部拒绝，再添加)
iptables -t filter -I INPUT -j REJECT #拒绝所有

（1）iptables

参数	功能
-t	指定操作的表默认不指定-t选项时就是filter表
-L	列出规则
-v	选项列出更多更详细的信息
-n	表示不解析IP地址，直接显示IP地址
–line-number	显示规则序号

modprobe iptable_表名：加载模块

iptables -L :查看所有规则

iptables -F :清空规则

iptables -t 表名 -L :查看指定表规则

iptables -nvL --line-number
-n:转化为数字
-v:显示详细信息
–line-number:显示链下规则

（2）增加：

target：
ACCEPT:容许，接收
DROP：丢弃
REJECT:拒绝

参数	功能
-t	指定操作的表
-I	指定插入规则的那个链，添加到第一行
-s	指定“匹配条件”中的源地址
-d	指定“匹配条件”中的目的地址
-j	指定“匹配条件”中的动作
-A	指定插入规则的那个链，添加到最后一行
-I 链名 行号	具体添加到某一行
–dport	目标端口
–sport	源端口
-p 协议名	指定协议

iptables -t filter -I(i) INPUT -s 192.168.234.22 -j DROP(丢弃)


iptables -t filter -I INPUT -s 192.168.42.102 -j REJECT

iptables -t filter -A INPUT -s 192.168.42.102 -j REJECT（拒绝）
iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT（允许）

（3）删除：
1）iptables -F

2）iptables -t filter -D INPUT 2 （删除指定表中的指定行）

3）iptables -t filter -D INPUT -p tcp --sport 22 -j ACCEPT 删除固定的某一条规则。

（4）修改：
iptables -t filter -R INPUT 2 -s 192.168.42.102 -p tcp --dport 80 -j ACCEPT
-R:修改

（5）查询：
iptables -nvL --line-number

（6）保存规则：（保存位置：/etc/sysconfig/iptables）
servicce iptables save(保存到文件/etc/sysconfig/iptables)
Iptables-save > /etc/sysconfig/iptables（输出规则到屏幕）

文件对比：生成校验码（md5sum 文件名）

5、1）setenforce 0:关闭防火墙
2) getenforce 1:打开防火墙
3)永久关闭防火墙 chkconfig iptables off
4)永久开启防火墙 chkconfig iptables on