防火墙简介
前言
防火墙的概念
防火墙(Firewall)是工作在网络边缘(主机边缘),对进出网络数据包基于一定的规则检查,并在匹配某规则时由规则定义进行处理功能的组件。
防火墙类型根据工作的层次的不同来划分,常见的防火墙工作在OSI第三层,即网络成防火墙,工作OSI第七层称为应用层防火墙,或者代理服务器(代理网关)。
网络层防火墙
网络层防火墙又称包过滤防火墙,在网络层对数据包进行过滤,过滤的依据是系统内设置的过滤规则,被称为访问控制列表(ACL),通过检车数据流中的每一个数据的源地址,目的地址,所用端口号和协议状态等条件,或他们的组合来确定是否允许该数据包通过。优点:对用户来说透明,处理速度快且易于维护。缺点:一旦黑客吐蕃防火墙,就可以轻易地伪造数据包的源地址,目的地址和IP的端口号,即“IP地址伪造”。
代理服务型防火墙
代理服务型防火墙将所有跨越防火墙的网络通信链路分为两段。当代理服务器接收到用户对某个站点的访问请求后会检查该请求是否符合控制跪着。如果规则允许,则代理服务器会替代用户去那个站点取回所需的信息,转发给用户。内外网用户的访问都是通过代理服务器来实现对的。从而起到了格力防火墙内外计算机系统的作用。特点:在应用对数据进行检查,比较安全。但是会增加防火墙的负载。
现实生产环境中所使用的防火墙一般都是两者相结合。即先检查网络数据,通过之后再送到应用层检查。
按照分类可以分为:
- 主机防火墙:服务范围为当前主机
- 网络防火墙:服务范围为防火墙一侧的局域网
- 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一部分能基于软件实现。
- 软件防火墙:运用于通用硬件平台之上的防火墙的应用软件
Iptables的基本认识
Netfilter组件称为内核空间,它被集成在Linux内核中。netfilter是一种内核中用于扩展各种网络服务的结构化底层框架。它是在内核中选取五个位置放了五个 hook function,而这五个 hook function 向用户开放,用户可以通过一个工具(iptables)向其写规则。
Netfilter 主要由信息过滤表组成,包含了控制IP包处理的规则集。根据规则所处理的IP包的类型,规则被分组放在链中,从而使内核对来自某些元源和前往某些目的地或具有某些协议类型的信息包进行处理,如完成数据包的处理、控制和过滤等。
Iptables也称为用户空间,是一个工作在用户层用来写规则的工具,写好的规则被送往netfilter。这些规则告诉内核中的netfilter组件如何去处理信息包。
Iptables的组成
iptables有四个表和五个链以及一些规则组成:
四个表:
| 表名 | 功能 |
|---|---|
| filter | 过滤规则表,该表根据管理员预定义的一组规则过滤符合条件的数据包 |
| nat | 地址转换规则表,用于nat功能(端口映射,地址映射等) |
| mangle | 修改数据标记位规则表,用于对特定数据包的修改 |
| raw | 跟踪数据规则表,有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能 |
五个链:
| 链名 | 功能 |
|---|---|
| INPUT | 数据包进入路由表之前 |
| OUTPUT | 通过路由表后目的地为本机 |
| FORWOARD | 通过路由表后,目的地不为本机 |
| PRERROUTING | 由本机产生,向外转发 |
| POSTROUTING | 发送到网卡接口之前 |
数据包过滤匹配流程图
Iptables的使用
语法:
iptables [-t 表名] <-A|-I|-D|-R> 链名[规则编号][-i|-o 网卡名称] [-p 协议类型] [-s 源IP地址|源子网] [-sport 源端口号] [-d 目标IP地址|目标子网] [-dport 目标端口号]<-j 动作>CHAIN
| 命令 | 对链进行操作 |
|---|---|
| -N | --new,新建一条链 |
| -X | --delete,删除一条用户自定义链(空链) |
| -F | --flush,清空一条链,默认清空表中所有链 |
| -P | --policy,定义链的默认处理策略(ACCEPT、DROP、REJECT) |
| -E | --rename,重命名自定义的未被引用的链(计数器为0) |
RULE
| 命令 | 对规则进行操作 |
|---|---|
| -L | list,列出规则(常用组合-vnL) |
-n:--numeric 以数字格式显示地址和端口 |
|
-v:--verbose 详细信息,-vv,-vvv |
|
-x:--exact 显示计数器的精确值 |
|
--line-numbers 显示链上的规则的编号 |
|
| -A | --append 追加,在链的最后加一条规则 |
| -I | --insert 插入一条规则,默认第一个,一般使用-I CHAIN NUM 给规则加一个编号。 |
| -R | --replace 替换某条规则,规则被替换并不会改变顺序,必须要指定替换的跪着编号:-R CHAIN NUM |
| -Z | --zero 清空计数器,iptables中那个每条规则默认有两个计数器,用于记录本条规则所匹配到的数据包的个数和本条规则所匹配到的数据包的总大小 |
| -S | --selected 以iptables-save 命令的格式显示链上的规则 |
匹配条件:
基本匹配
基本匹配:netfilter 自带的匹配规则
| 命令 | 功能 |
|---|---|
| -s | –src,–source 匹配数据包的源地址 |
| -d | –dst,————destination 匹配数据包的目标地址 |
| -i | –in-interface name 指定数据包的流入接口(逻辑接口),只能用于PREROUTING、INPUT和FORWARD |
| -o | –out-interface name 限制报文流出的接口,只能用于OUTPUT、FORWAR |
最低0.47元/天 解锁文章
9219
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
