Linux防火墙

笔记

安全技术

• 入侵检测与管理系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报告和事后监督为主，提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式
• 入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式
• 防火墙（FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略

防火墙的分类

• 主机防火墙：服务范围为当前主机
  网络防火墙：服务范围为防火墙一侧的局域网

• 硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，Checkpoint,NetScreen
  软件防火墙：运行于通用硬件平台之上的防火墙的应用软件

• 网络层防火墙：OSI下面第三层
  应用层防火墙/代理服务器：代理网关，OSI七层

网络型防火墙

xxxx图片1xxxx
1. 包过滤防火墙
2. 网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL），通过检查数据流中每个数据的源地址，目的地址，所用端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过
3. 优点：对用户来说透明，处理速度快且易于维护
4. 缺点：无法检查应用层数据，如病毒等

应用层防火墙

应用层防火墙/代理服务型防火墙（Proxy Service）
xxxx图片2xxxx
1. 将所有跨越防火墙的网络通信链路分为两段
2. 内外网用户的访问都是通过代理服务器上的“链接”来实现
3. 优点：在应用层对数据进行检查，比较安全
4. 缺点：增加防火墙的负载
5. 现实生产环境中所使用的防火墙一般都是二者结合体
6. 即先检查网络数据，通过之后再送到应用层去检查

iptables的基本认识

Netfilter组件

• 内核空间，集成在linux内核中
• 扩展各种网络服务的结构化底层框架
• 内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)，而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则
• 由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放在链（chain）上
  xxxx图片3xxxx
  三种报文流向：
  流入本机： PREROUTING --> INPUT-->用户空间进程
  流出本机： 用户空间进程-->OUTPUT--> POSTROUTING
  转发： PREROUTING --> FORWARD --> POSTROUTING

防火墙工具

iptables
    命令行工具，工作在用户空间
    用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包
firewalld
    CentOS 7引入了新的前端管理工具
    管理工具：
        firewall-cmd命令行
        firewall-config图形

iptables的组成

iptables由四个表和五个链以及一些规则组成
四个表table：

• filter表: 过滤规则表，根据预定义的规则过滤符合条件的数据包
• nat表: network address translation 地址转换规则表
• mangle: 修改数据标记位规则表
• Raw: 关闭NAT表上启用的连接跟踪机制，加快封包穿越防火墙速度

优先级由高到低: raw-->mangle-->nat-->filter
五个内置链chain

• INPUT
• OUTPUT
• FORWARD
• PREROUTING
• POSTROUTING

Netfilter表和链对应关系

xxxx图片4xxxx