【防火墙】防火墙分类,过滤流程

一、防火墙干嘛的

防攻击、优化路由表、优化网卡收发包、过滤策略

 

二、防火墙分类

四层:网络层防火墙,更快速 -》  包过滤型防火墙
七层:代理层网关防火墙,更安全,效率更低 -》  服务型防火墙
市面产品两者结合
 
四、防火墙工作流程
4. 1 包过滤防火墙工作原理
 
 
4.2 服务型防火墙工作原理
应用层上实现防火墙功能的。它能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输的信息,它还能处理和管理信息。
 
以下为输入输出在服务器中数据传输过程
 
 
以下为iptables 表、链、规则关系
 
四、代理型防火墙关键技术
3.1  nat  
源目的地址转换是 Network Address Translation 的缩写, 这个表格主要在进行来源与目的之 IP 或 port 的转换,与 Linux 本机较无关,主要与 Linux 主机后的局域网络内计算机较有相关。
  • PREROUTING:在进行路由判断之前所要进行的规则(DNAT/REDIRECT)
  • POSTROUTING:在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)
  • OUTPUT:与发送出去的封包有关
3.2 filter  
ip过滤,在forward
  • INPUT:主要与想要进入我们 Linux 本机的封包有关;
  • OUTPUT:主要与我们 Linux 本机所要送出的封包有关;
  • FORWARD:这个咚咚与 Linux 本机比较没有关系, 他可以『转递封包』到后端的计算机中,与下列 nat table 相关性较高。
3.3 mangle   
修改数据包的内容这个表格主要是与特殊的封包的路由旗标有关, 早期仅有 PREROUTING 及 OUTPUT 链,不过从 kernel 2.4.18 之后加入了 INPUT 及 FORWARD 链。 由于这个表格与特殊旗标相关性较高,所以像咱们这种单纯的环境当中,较少使用 mangle 这个表格。
 
五、参考资料
posted @ 2015-03-21 10:43  空城夕  阅读(1934)  评论(0编辑  收藏  举报