防火墙简介

防火墙

安全技术

入侵检测与管理系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定
位来自内外网络的威胁情况，主要以提供报告和事后监督为主，提供有针对性的指导措施和安全决
策依据。一般采用旁路部署方式
入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出
攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予
以阻断，主动而有效的保护网络的安全，一般采用在线部署方式
防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定
的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是
默认情况下关闭所有的通过型访问，只开放允许访问的策略

防火墙的分类

按保护范围划分：
主机防火墙：服务范围为当前一台主机
网络防火墙：服务范围为防火墙一侧的局域网
按实现方式划分:
硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：华为，
天融信Checkpoint，NetScreen等
软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，ISA --> Forefront TMG
按网络协议划分：
网络层防火墙：OSI模型下四层，又称为包过滤防火墙
应用层防火墙/代理服务器：代理网关，OSI模型七层

防火墙工具介绍

iptables
由软件包iptables提供的命令行工具，工作在用户空间，用来编写规则，写好的规则被送往netfilter，
告诉内核如何去处理信息包

firewalld
CentOS 7 版开始引入了新的前端管理工具
软件包：
firewalld
firewalld-config
管理工具：
firewall-cmd 命令行工具
firewall-config 图形工作
这个用的少

nftables
此软件是CentOS 8 新特性,Nftables最初在法国巴黎的Netfilter Workshop 2008上发表，然后由长期的
netfilter核心团队成员和项目负责人Patrick McHardy于2009年3月发布。它在2013年末合并到Linux内
核中，自2014年以来已在内核3.13中可用。
它重用了netfilter框架的许多部分，例如连接跟踪和NAT功能。它还保留了命名法和基本iptables设计的
几个部分，例如表，链和规则。就像iptables一样，表充当链的容器，并且链包含单独的规则，这些规
则可以执行操作，例如丢弃数据包，移至下一个规则或跳至新链。
从用户的角度来看，nftables添加了一个名为nft的新工具，该工具替代了iptables，arptables和
ebtables中的所有其他工具。从体系结构的角度来看，它还替换了内核中处理数据包过滤规则集运行时
评估的那些部分。