在linux中,防火墻模塊指的是架設在互聯網與企業內網之間的信息安全系統,根據企業預定的策略來監控往來的傳輸;linux中存在iptables和firewalld兩種防火墻,iptables更接近數據的原始操作,精度更高,而firewalld則更容易操作。
本教程操作環境:linux7.3系統、Dell G3電腦。
linux防火墻模塊是什么
在計算機科學領域中,防火墻(Firewall)是一個架設在互聯網與企業內網之間的信息安全系統,根據企業預定的策略來監控往來的傳輸。
防火墻可能是一臺專屬的網絡設備或是運行于主機上來檢查各個網絡接口上的網絡傳輸。它是目前最重要的一種網絡防護設備,從專業角度來說,防火墻是位于兩個(或多個)網絡間,實行網絡間訪問或控制的一組組件集合之硬件或軟件
Linux中存在iptables和firewalld兩種防火墻
-
iptables:更接近數據的原始操作,精度更高
-
firewalld:更易操作
防火墻的分類
邏輯層面
從邏輯上講,防火墻大體可以分為主機防火墻和網絡防火墻
-
主機防火墻:主要針對單個主機進行防護
-
網絡防火墻:往往處于網絡入口或邊緣,針對于網絡入口進行防護,服務于防火墻背后的本地局域網
網絡防火墻和主機防火墻互不影響,可以理解為網絡防火墻負責外(集體),主機防火墻負責內(個人)
物理層面
從物理上講,防火墻可以分為硬件防火墻和軟件防火墻
-
硬件防火墻:在硬件級別實現部分防火墻功能,另一部分功能基于軟件實現,成本高,性能高
-
軟件防火墻:應用處理軟件邏輯運行于通用平臺之上的防火墻,成本低,性能低
防火墻的功能
入侵檢測功能
網絡防火墻技術的主要功能之一就是入侵檢測功能,主要有反端口掃描、檢測拒絕服務工具、檢測CGI/IIS服務器入侵、檢測木馬或者網絡蠕蟲攻擊、檢測緩沖區溢出攻擊等功能,可以極大程度上減少網絡威脅因素的入侵,有效阻擋大多數網絡安全攻擊。
網絡地址轉換功能
利用防火墻技術可以有效實現內部網絡或者外部網絡的IP地址轉換,可以分為源地址轉換和目的地址轉換,即SNAT和NAT。SNAT主要用于隱藏內部網絡結構,避免受到來自外部網絡的非法訪問和惡意攻擊,有效緩解地址空間的短缺問題,而DNAT主要用于外網主機訪問內網主機,以此避免內部網絡被攻擊。
網絡操作的審計監控功能
通過此功能可以有效對系統管理的所有操作以及安全信息進行記錄,提供有關網絡使用情況的統計數據,方便計算機網絡管理以進行信息追蹤。
強化網絡安全服務
防火墻技術管理可以實現集中化的安全管理,將安全系統裝配在防火墻上,在信息訪問的途徑中就可以實現對網絡信息安全的監管。
防火墻的三表五鏈
三表: filter表、nat表、mangle表
第一張表:filter表格:放的是經過內核的ip input output forward
第二張表:nat表格:放的不是經過內核的服務 input output postrouting prerouting
第三張表:備用表格mangle: input output forward postrouting prerouting
五鏈:input、prerouting、forward、postrouting 、output
表功能及內核模塊
五鏈:input、prerouting、forward、postrouting 、output
INPUT和OUTPUT均包括經過內核和不經過內核的信息
FORWARD是經過內核的路由轉發信息
POSTROUTING是不經過內核路由之后的信息
PREROUTING是不經過內核路由之前的信息
推薦學習:Linux視頻教程
