Linux- Linux防火墙概述

1 简介

1）防火墙（Firewal）：计算机网络中的防火墙通常连接两个网络，是外部 Internet 和内部网络之间的交汇点，同时也是一道屏障

      主要功能：实施安全策略、过滤传输数据、记录Internet 活动、 IP 地址转换、保护内部网络信息

2）防火墙类型：包过滤防火墙，代理防火墙，状态检测防火墙。

      包过滤防火墙对通过它的每一个数据包，根据事先制 订好的规则，对它的源地址、目的地址以及相应的端口进 行判断，把不合规则的数据包都过滤掉。 优点：处理来速度快，对用户透明 。缺点：不能实现用户级认证日志记录不完善无法防御IP欺 骗；对特殊协议不适用

      代理也称为应用网关防火墙，核心是代理技术， 即 代替客户处理对服务器连接请求。 优点：安全性高 过滤规则灵活 详细的日志记录 缺点：处理速度慢； 对用户不透明； 代理服务类型有限制

      状态检测防火墙又称为动态包过滤防火墙。 其主要特点在于：第一，在防火墙的核心部分建立状态连接表，并将进出网络 的数据当成一个个的会话，利用状态表跟踪每个会话状态。第二，防火墙首先根据规则表来判断是否允许这个数据包通 过，如果不符合规则就立即丢弃；如果符合规则，再 将当前的数据包和状态信息，与前一时 刻的数据包和 状态信息进行比较，然后根据比较结果决定数据包是 否能够通过防火墙 。

3）防火墙结构：屏蔽路由器 ，双穴主机 ，屏蔽主机防火墙 ，屏蔽子网防火墙，其它结构。

      屏蔽路由器  ( 包过滤  ) ，优点：处理速度快 费用低；对用户透明 缺点：维护困难只能阻止较少的IP欺骗； 无用户认证 日志功能有限； 当规则过多时，处理速度及吞吐速度急速下 降，无法对信息全面控制

      双穴主机  ( 双宿网关  ) ，优点：安全性比屏蔽路由器高 缺点：入侵者一旦得到双穴主机的访问权，内部网络就会被 入侵，因此需具有强大的身份认证系统，才可以阻挡来自外 部的不可信网络的非法入侵。

      屏蔽主机防火墙，优点：实现了网络层安全  ( 包过滤  ) 和应用层安全 ( 代 理  )，因此安全等级比屏蔽路由器高 缺点：堡垒主机可能被绕过，堡垒主机与其它内部主机 间没有任何保护网络安全的东西存在，一旦被攻破，内 网就将暴露

2  Linux防火墙

Linux防火墙采用包过滤技术，总体看防火墙发展经 历了四个发展阶段

      静态防火墙： ipfwadm(kernel 2.0) ；ipchains(kernel 2.2) ；iptables(kernel 2.4 later) ；需要自行书写规则及相关信息  , 每次改变后都要重 新启动防火墙

      动态防火墙： firewalld(RHEL7 新纳入的防火墙  )，在更改防火墙规则后，不需要重新加载相关服务 和模块，达到改变及应用的效果。

      firewalld 看起来是一个非常新的防火墙，实际上 仍然采用了 netfilter/iptables 的底层架构。虽然在应 用上变化非常大，但底层实质意义上没有太多的改变。

---

转载请注明出处，谢谢！