防火墙分类
- 包过滤防火墙(packet filter)
- 应用层网关代理(Application level Gateway)
- 状态防火墙(stateful firewall)
包过滤防火墙和状态防火墙区别:
- 包过滤防火墙:静态防火墙,通过IP数据报头部的五元素(地址、协议、端口)过滤数据,因为五元素在会话中不变,故称其为静态。
优点是规则简单,易实现,处理速度快。缺点是难以应对ip碎片攻击,不支持复杂协议,不能防止对应用层的攻击,无法应对nmap -sA扫描。
- 状态防火墙: 动态包过滤防火墙, 收到连接请求时建立一张存储连接信息的表,基于这个表对出入数据进行管理,如iptables防护墙。同一会话,虽然五元组不变,但是状态标识是变化的,所以称之为动态。可设置白名单和黑名单。缺点是消耗资源。
iptables防火墙简介
状态防火墙,linux的防火墙由netfilter和iptables组成,2.4内核以后,用户空间的iptables制定规则,内核空间的netfilter实现防火墙功能。
需要root权限
防火墙规则通常有两种基本策略。一是黑名单策略;二是白名单策略。