防火墙

一、防火墙概述
1、概念与作用
网络中的防火墙，是一种将内部网络和外部网络分开的方法，是一种隔离技术。防火墙
在内网与外网通信时进行访问控制，依据所设置的规则对数据包作出判断，最大限度地阻止
网络中的黑客破坏企业网络，从而加强企业网络安全。
2、防火墙的分类
（1）硬件防火墙：如思科的 ASA 防火墙，H3C 的 Sepath 防火墙等。
（2）软件防火墙：如 iptables 等
按架设的位置，可以分为主机防火墙、网关防火墙
3、iptables 防火墙
Linux 操作系统中默认内置一个软件防火墙，即 iptables 防火墙
（1）netfilter
位于 Linux 内核中的包过滤功能体系，称为 Linux 防火墙的“内核态”
（2）iptables
位于/sbin/iptables，用来管理防火墙规则的工具，称为 Linux 防火墙的“用户态”
4、包过滤的工作层次
主要是网络层，针对 IP 数据包，体现在对包内的 IP 地址、端口等信息的处理上。
二、iptables 规则链
1、规则链
规则的作用：对数据包进行过滤或处理
链的作用：容纳各种防火墙规则
链的分类依据：处理数据包的不同时机
2、默认包括 5 种规则链
INPUT：处理 入站数据包
OUTPUT：处理 出站数据包
FORWARD：处理 转发数据包
POSTROUTING：在进行 路由选择后处理数据包
PREROUTING：在进行 路由选择前处理数据包

三、iptables 规则表
1、规则表
表的作用：容纳各种规则链
表的划分依据：防火墙规则的动作相似
2、默认包括 4 个规则表
raw 表：确定是否对该数据包进行状态 跟踪
mangle 表：为数据包设置 标记
nat 表： 修改数据包中的源、目标 IP 地址或端口
filter 表：确定是否被放行该数据包（ 过滤）
3、链表结构关系图

 

四、iptables 匹配流程
1、规则表之间的顺序：
raw→mangle→nat→filter
2、规则链之间的顺序：
入站：PREROUTING→INPUT
出站：OUTPUT→POSTROUTING
转发：PREROUTING→FORWARD→POSTROUTING
3、规则链内的匹配顺序
·按顺序依次检查，匹配即停止（LOG 策略例外）
·若找不到相匹配规则，按该链的默认策略处理

五、iptables 命令
1、语法构成
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
注意事项：
不指定表名时，默认指 filter 表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写
2、数据包的常见控制类型
ACCEPT：允许通过

DROP：直接丢弃，不给出任何回应
REJECT：拒绝通过，必要时会给出提示
LOG：记录日志信息，然后传给下一条规则继续匹配

 

六、规则的匹配类型
1、通用匹配
可直接使用，不依赖与其他条件或扩展
包括网络协议、IP 地址、网络接口等条件
2、隐含匹配
要求以特定的协议匹配作为前提
包含端口、TCP 标记、ICMP 类型等条件
3、显式匹配
要求以“-m 扩展模块”的形式明确指出类型
包括多端口、MAC 地址、IP 范围、数据包状态等条件