1.防火墙定义:
工作在主机边缘处或者网络边缘处对数据报文进行检测,并且能够事先定义好的规则,对数据报文进行相应处理的模块
2.防火墙分类:
构造:
硬件: 深信服(深圳)、网御(联想)、华为的一些硬件防火墙
软件: windos防火墙、linux的iptables防火墙
工作机制:
包过滤防火墙: 根据 源地址(SIP)、目标地址(DIP)、源端口(SPORT)、目标端口(DPORT) 去做数据包的过滤
应用层防火墙: 根据 URL 、主机名(HOSTNAME) 去做数据包的过滤
模块:
应用态: iptables(在centos6中是防火墙的配置工具)、firewall(在centos7中是防火墙的配置工具)
内核态: netfilter(linux真正的内核防火墙)
3. iptable原理:
5链:
客户端发起数据报文请求———> 到达服务器的内核态(网卡)————>网卡处有个路由表(rount tables),会判断IP是否是本机的IP
———>假设客户端要访问WEB服务器,就会有iptables的第一个规则入口(INPUT链(第一个描述规则的地方,所有的入站的数据报文,要经过INPUT链,才能到达上层用户空间))
———>假设客户端访问成功,服务器的数据报文就会被发送出去,此时会有iptables的第二个规则接口(OUTPUT链(第二个描述规则的地方,所有出站的数据报文,都要经过OUTPUT链进行过滤操作,才能成功出去))
———>假设客户端要访问WEB服务器,会经过路由器,会产生数据报文的转发,此时会经过iptables的第三个规则接口(FORWORD链)
———>prerouting链