概念:网络中的防火墙,是一种将内部网络和外部网络分开的方法,是一种隔离技术
作用:
防火墙在内网与外网通信时进行访问控制,依据所设置的规则对数据包作出判断,最大限度地阻止网络中的黑客破坏企业网络,从而加强了企业网络安全
防火墙的分类
硬件防火墙,如思科的ASA防火墙
软件防火墙,如iptables
linux包过滤防火墙的概述
linux操作系统中默认内置一个软件防火墙,即iptables防火墙
Netfilter
位于linux内核中的包过滤功能体系
称为linux防火墙的“内核态”
Iptables
位于/sbin/iptables,用来管理防火墙规则的工具
称为linux防火墙的“用户态”
规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理输出包的不同时机
默认包括5种规则链
input:处理入站数据包
output:处理出站数据包
forward:处理转发数据包
postrouting链:在进行路由选择后处理数据包
prerouting链:在进行路由选择钱处理数据包
规则表
表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用相似
默认包括4个规则表
raw表:确定是否对数据包进行状态跟踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标IP地址或端口
filter表:确定是否放行该数据包
规则表之间的顺序
#raw-mangle-nat-filter
规则链之间的顺序
入站:prerouting-input
出站:output-postrouting
转发:prerouting-forward-postrouting
规则链内的匹配顺序
按顺序依次检查,匹配即停止
若找不到匹配规则,按该链的默认策略处理
filter:过滤器
input:进入
output:出去
forward:转发
accept:允许
reject:拒绝
drop:丢弃
iptables规则操作
添加
-A 在链的末尾追加一条规则
-I 在链的开头插入一条规则
查看
-L 列出所有的规则条目
-n 以数字形式显示地址、端口等信息
-v 以更详细的方式显示规则信息
--line-numbers 查看规则时,显示规则的序号
删除、清空规则
-D 删除链内指定序号
-F 清空所有的规则
设置默认策略
-P 为指定的链设置默认规则
通用匹配
可直接使用、不依赖其他条件或扩展
包括网络协议、IP地址、网络接口等条件
隐含匹配
要求以特定的协议匹配作为前提
包括端口、TCP标记、ICMP类型等条件
常见的通用匹配条件
协议匹配 -p 协议名
协议匹配 -s 源地址 -d 目的地址
接口匹配 -I 入站网卡 -o 出站网卡
