如何理解防火墙?
防火墙分布较广,在应用层、网络层、传输层、数据链路层均有防火墙。防火墙主要是由“四表五链”组成。
“四表”:
- filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包
- nat表:network address translation 地址转换规则表
- mangle:修改数据标记位规则表
- Raw:关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度
优先级由高到低的顺序为:raw–>mangle–>nat–>filter
“五链”:五个内置链chain
- INPUT
- OUTPUT
- FORWARD
- PREROUTING
- POSTROUTING
表和链之间的关系:表在链上实现相应的功能
对于防火墙来说共有三种报文流向:
1.流入本机:PREROUTING --> INPUT–>用户空间进程
2.流出本机:用户空间进程–>OUTPUT–> POSTROUTING
3.转发功能:PREROUTING --> FORWARD --> POSTROUTING
filter表实现的是过滤功能,它存在于INPUT、OUTPUT、FORWARD三条链上,添加规则到filter表、确定链上就可以在固定链上实现我们想要的过滤功能了。
nat表是用来进行ip地址转换的,一般将nat表设置在PREROUTING和POSTROUTING这两条链上,既可以是源ip地址转换SNAT,也可以是目的ip地址转换DNAT,其中源ip地址转换SNAT设置在POSTROUTING链上,转换一下源ip变成接入公网的ip;目的ip地址转换DNAT设置在PREROUTING链上,引导外界访问的数据包到达用户空间,把目的ip转换成自己内部设置的相应的ip。
安全技术
技术 | 特点作用 |
---|---|
入侵检测与管理系统(Intrusion Detection Systems) | 特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式 |
入侵防御系统(Intrusion Prevention System) | 以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在线部署方式 |
防火墙(FireWall ) | 隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略 |
防火墙分类
分类 | 范围 |
---|---|
主机防火墙 | 服务范围为当前主机 |
网络防火墙 | 服务范围为防火墙一侧的局域网 |
硬件防火墙 | 在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,Checkpoint,NetScreen |
软件防火墙 | 运行于通用硬件平台之上的防火墙的应用软件 |
网络层防火墙 | OSI下面第三层 |
应用层防火墙/代理服务器 | 代理网关,OSI七层 |
网络层防火墙
包过滤防火墙
网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表(ACL),通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过
- 优点:对用户来说透明,处理速度快且易于维护
- 缺点:无法检查应用层数据,如病毒等
应用层防火墙
应用层防火墙/代理服务型防火墙(Proxy Service)
将所有跨越防火墙的网络通信链路分为两段
内外网用户的访问都是通过代理服务器上的“链接”来实现
- 优点:在应用层对数据进行检查,比较安全
- 缺点:增加防火墙的负载
现实生产环境中所使用的防火墙一般都是二者结合体(网络层防火墙+应用层防火墙)
即先检查网络数据,通过之后再送到应用层去检查