linux防火墙之iptables命令
防火墙
定义
防火墙是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,对传输的数据进行一个控制(让其通过或拦截)
组成
防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件,因此防火墙可分为软件防火墙和硬件防火墙。该计算机流入和流出的所有网络通信和数据包均要经过此防火墙
作用
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
特点
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
(二)只有符合安全策略的数据流才能通过防火墙
(三)防火墙自身应具有非常强的抗攻击免疫力
(四)应用层防火墙具备更细致的防护能力
(五)数据库防火墙针对数据库恶意攻击的阻断能力
分类
1.按软硬件分类
按照软硬件可分为硬件防火墙和软件防火墙
区别如下:
详细信息可以参考如下链接
关于硬件防火墙和软件防火墙的区别
硬件防火墙和软件防火墙的详细介绍
2.按应用分类
1.网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)
2.应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。XML 防火墙是一种新型态的应用层防火墙。根据侧重不同,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙
3.数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
linux中的防火墙
分类
Linux下常用的防火墙有TCP Wrappers和Netfilter
TCP Wrappers
TCP Wrappers是通过/etc/hosts.allow和/etc/hosts.deny这两个配置文件来实现一个类似防火墙的机制,类似于黑白名单。控制的规则如下:
(a)先以/etc/hosts.allow进行检查,若规则符合就予以放行。
(b)再以/etc/hosts.deny进行检查,若规则符合就予以抵挡。
(c)若不在这两个文件内,即规则都不符合,那么就会放行。
但是在centos8的系统中貌似已经没有该功能。
TCP Wrappers具体的实现可以参看这篇文章
Netfilter/iptables
Netfilter利用一些数据包过滤的规则设置,从而控制允许接收的数据类型,需要过滤的数据类型等,来达到保护主机的目的。linux内核中提供了iptables这个工具软件来设置Netfilter的防火墙数据包过滤的规则
实现机制
netfilter/iptabels应用程序,被认为是Linux中实现包过滤功能的第四代应用程序
在linux中的包过滤机制是netfilter,服务访问规则(管理工具)是iptables。可以简单地理解为iptables命令是给netfilter过滤机制传递参数的,让过滤机制有过滤的条件去进行过滤功能。
netfilter和iptables都是linux中的软件。其中iptables工具用来给netfilter传递参数和查看参数信息的。
所以最终的拦截实现方式是:用户输入命令–》iptables工具设置访问规则—》netfilter进行过滤。
netfilter和iptables的区别:
netfilter和iptables两者的联系和区别,更加详细的信息
特点
1.linux中的软件防火墙是有路由功能的,可以根据ip地址进行访问控制。当某个网关服务器进行iptables的拦截设置时就相当于是实现了防火墙的功能
2.linux中的防火墙有数据过滤功能,能对数据包进行过滤,可根据mac地址、ip地址、端口号、协议等对其进行控制。其过滤工作也是在内核中完成
398
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
