防火墙相关概念
从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙。
-
主机防火墙:针对于单个主机进行防护。
-
网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。
网络防火墙和防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)
从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。
-
硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高。
-
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。
IPTABLES的表与链
iptables是linux自带的一款开源的内核级基于数据包过滤的防火墙。利用iptables可以实现诸如数据包过滤、转发等功能。
iptables包含表,表中包含链,链中包含规则。(规则指的是一条条用于过滤数据包的语句)
iptables是按照规则来办事的,规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。
配置防火墙的主要工作就是添加、修改和删除这些规则。具体可查看此文档:https://blog.csdn.net/biao0309/article/details/106951023