文章目录
前言
- 在 Internet 中,企业通过各种应用系统来为用户提供各种服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等
- 那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢
- 接下来,我们将学习 CentOS 6 系统中的防火墙——netfilter 与 iptables,以及 CentOS 7 系统中的防火墙 firewalld
一、Linux 防火墙基础
1.概述
- Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)
- 体现在对包内的 IP 地址、端口等信息的处理上
- Linux 系统的防火墙基于内核编码实现,具有非常稳定的性能和极高的效率,也因此获得广泛的应用
2.netfilter 与 iptables
- 在许多安全资料中,netfilter 和 iptables 都用来指 Linux 防火墙,往往使读者产生疑惑
- 两者主要区别如下:
2.1 netfilter
- 是内核的一部分,由一些数据包过滤表组成,不以程序文或文件的形式存在
- 这些表包含内核用来控制数据包过滤处理的规则集
- 属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系
2.2 iptables
- 是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录
- 属于“用户态”(User. Space, 又称为用户空间)的防火墙管理体系
2.3 小结
- 正确认识两者的关系有助于理解 Linux 防火墙的工作方式
- 两者均可表示Linux防火墙
3.iptables 的表、链结构
3.1 简介
- iptables的作用是为包过滤机制的