防火墙

一、防火墙概述
1、概念与作用
网络中的防火墙,是一种将内部网络和外部网络分开的方法,是一种隔离技术。防火墙
在内网与外网通信时进行访问控制,依据所设置的规则对数据包作出判断,最大限度地阻止
网络中的黑客破坏企业网络,从而加强企业网络安全。
2、防火墙的分类
(1)硬件防火墙:如思科的 ASA 防火墙,H3C 的 Sepath 防火墙等。
(2)软件防火墙:如 iptables 等
按架设的位置,可以分为主机防火墙、网关防火墙
3、iptables 防火墙
Linux 操作系统中默认内置一个软件防火墙,即 iptables 防火墙
(1)netfilter
位于 Linux 内核中的包过滤功能体系,称为 Linux 防火墙的“内核态”
(2)iptables
位于/sbin/iptables,用来管理防火墙规则的工具,称为 Linux 防火墙的“用户态”
4、包过滤的工作层次
主要是网络层,针对 IP 数据包,体现在对包内的 IP 地址、端口等信息的处理上。
二、iptables 规则链
1、规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
2、默认包括 5 种规则链
INPUT:处理 入站数据包
OUTPUT:处理 出站数据包
FORWARD:处理 转发数据包
POSTROUTING:在进行 路由选择后处理数据包
PREROUTING:在进行 路由选择前处理数据包

三、iptables 规则表
1、规则表
表的作用:容纳各种规则链
表的划分依据:防火墙规则的动作相似
2、默认包括 4 个规则表
raw 表:确定是否对该数据包进行状态 跟踪
mangle 表:为数据包设置 标记
nat 表: 修改数据包中的源、目标 IP 地址或端口
filter 表:确定是否被放行该数据包( 过滤)
3、链表结构关系图

 

四、iptables 匹配流程
1、规则表之间的顺序:
raw→mangle→nat→filter
2、规则链之间的顺序:
入站:PREROUTING→INPUT
出站:OUTPUT→POSTROUTING
转发:PREROUTING→FORWARD→POSTROUTING
3、规则链内的匹配顺序
·按顺序依次检查,匹配即停止(LOG 策略例外)
·若找不到相匹配规则,按该链的默认策略处理

五、iptables 命令
1、语法构成
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
注意事项:
不指定表名时,默认指 filter 表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写
2、数据包的常见控制类型
ACCEPT:允许通过


DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给出提示
LOG:记录日志信息,然后传给下一条规则继续匹配

 

六、规则的匹配类型
1、通用匹配
可直接使用,不依赖与其他条件或扩展
包括网络协议、IP 地址、网络接口等条件
2、隐含匹配
要求以特定的协议匹配作为前提
包含端口、TCP 标记、ICMP 类型等条件
3、显式匹配
要求以“-m 扩展模块”的形式明确指出类型
包括多端口、MAC 地址、IP 范围、数据包状态等条件

 

posted @ 2018-11-22 23:30  飞翔的小菜鸟001  阅读(384)  评论(0编辑  收藏  举报