32. linux中防火墙的三表五链

Lesson32 linux中防火墙的三表五链

1. 防火墙的相关概念

防火墙是位于内外网之间的一组软硬件部件的组合，主要目的就是保护内外网的数据流通的安全，当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。 
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。 

2. 防火墙的分类

从逻辑上讲，防火墙大体可以分为主机防火墙和网络防火墙
主机防火墙：主要针对单个主机进行防护
网络防火墙：往往处于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网
网络防火墙和主机防火墙互不影响，可以理解为网络防火墙负责外（集体），主机防火墙负责内（个人）
从物理上讲，防火墙可以分为硬件防火墙和软件防火墙
硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，成本高，性能高
软件防火墙：应用处理软件逻辑运行于通用平台之上的防火墙，成本低，性能低

3. 防火墙的功能

1. 入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。 
2. 网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。  
3. 网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。  
4. 强化网络安全服务
防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

Linux中存在iptables和firewalld两种防火墙
iptables：更接近数据的原始操作，精度更高
firewalld：更易操作

4. 防火墙的三表五链

4.1 三表五链的介绍

防火墙的三张表分别为，filter表，nat表，mangle表，五条链分别是PREROUTING，INPUT，FORWARD，POSTROUTING，OUTPUT
INPUT和OUTPUT均包括经过内核和不经过内核的信息
FORWARD是经过内核的路由转发信息
POSTROUTING是不经过内核路由之后的信息
PREROUTING是不经过内核路由之前的信息

4.2 表功能及内核模块

表名称	功能	内核模块
filter	负责过滤功能，防火墙	iptables_filter
nat（Network Address Translation）	网络地址转换	iptables_net
mangle	拆解报文，修改，重新封装	iptables_mangle

如果要访问某台主机上面的http服务，必须先经过那台主机的内核允许，才可以进行访问
防火墙其实也是在内核上面开启的一个服务 防火墙里面有表格，写一些规则，允许哪个主机访问什么服务，这个表格由iptables进行控制
有两种规则：iptables 与 firewalld 
第一张表：filter表：放的是经过内核的ip,可使用的链：  input output forward 
第二张表：nat表：放的不是经过内核的服务，可使用的链： input output postrouting prerouting 
第三张表：备用表格mangle：可使用的链： input output forward postrouting prerouting

4.2 防火墙常用的行为动作

动作	说明
ACCEPT	允许数据包通过
DROP	直接丢弃数据包，不给任何回应，此时客户端会不停地去向服务器发送数据包，发送超时才会有反映应
REJECT	拒绝数据包通过，必要时会给数据发送端一个响应信息，如果客户端的请求被拒绝，就会收到拒绝的信息
SNAT	源地址转换，解决内网用户用同一个公网地址上网的问题
MASQUERADE	是SNAT的一种特殊形式，适用于动态的，临时会变的ip上
DNAT	目的地址转换