• 防火墙相关概念

  • iptables相关概念以及工作原理

  • iptables中四表五链的原理及规则

  • iptables中的基本命令详解





------------------防火墙相关概念----------------------

 LINUX防火墙:隔离内部网络和外部网络的隔离技术。

                                                介于3-4层的传输  ——管理控制 服务的提供。


系统安全:

1.第三方监控杀毒软件

2.系统策略

3.文件权限

4.防火墙规则 :原地址 目标地址 端口 协议 mac 数据包中的标志

类似ACL访问控制列表: 过滤


从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。


主机防火墙针对于单个主机进行防护。


网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。
                           网络防火和主机防火墙并不中突,可以理解为,网络防火墙主外(集体),主机防火墙主内(个人)。
                          从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。


硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高。如:思科ASA 华为防火墙  天融信防火墙 等。
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。如:iptables firewall(centos7独有的)等。


-------------iptables相关概念------------------


iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过 iptables这个代理,将用户的安全设定执行到对应的安全框架中,这个安全框架”才是直正的防火墙,这个框架的名字叫 netfilter。


netfilter才是防火墙真正的安全框架( framework), netfilter位于内核空间。




iptables其实是个命令行工具,位于用户空间,我们用这个工具操作真正的框架。




netfilter/ iptables(下文中简称为 iptables)组成 Linux平台下的包过滤防火墙,与大多数的 Linux软件一样,这个包过滤防火墙是兔费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。




Netfilter是 Linux操作系统核心层内部的—一个数据包处理模块,它具有如下功能:


网络地址转换( Network Address Translate)</