1.基础知识储备
(1)内核(Kernel):通常指的是操作系统的内核,其是操作系统的主要组成部分,主要用来负责系统资源的分配及调度,在一定程度上,内核的优劣也是衡量操作系统稳定与否的关键指标。
(2)Firewall:工作在主机或网络边缘,对进出的报文按事先定义的规则进行检查,并且由匹配到的规则进行处理的一组硬件或软件,甚至两者的结合
(3)防火墙的主要分类:主机防火墙和网络防火墙
(4)常见的的防火墙安全应用
IDS:入侵检测系统
HIDS:主机入侵检测系统,较著名的开源软件有OSSEC
NISC:网络入侵检测系统,较著名的开源软件有snort
Filesystem:tireware
IPS:入侵防御系统=入侵检测系统+Firewall,即两者的联动
(5)iptables防火墙简介及发展史,
iptables简介:
iptables是一款工作在linux内核中的强大的数据包过滤软件,它主要有两部分组件组成: iptables和netfilter 。
netfilter 也叫为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集;
iptables 也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。
iptables本身并不是防火墙,而是一种防火墙规则编写工具;netfilter才是真正实现使规则生效的框架(framwork)
netfilter 即网络过滤器,iptables就是在它上面工作;
iptables发展史:与Linux内核各版本集成的防火墙历史版本:
2.0.X内核:ipfwadm
2.2.X内核:ipchains
2.4.X内核:iptables
(6)iptables的优势
netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态,名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。
ESTABLISHED状态指的是该信息包属于已建立的连接,该连接一直用于发送和接收信息包并且完全有效。INVALID 状态指出该信息包与任何已知的流或连接都不相关联,它可能包含错误的数据或头。
NEW状态指的是该信息包已经或将启动新的连接,或者它与尚未用于发送和接收信息包的连接相关联。最后, RELATED 表示该信息包正在启动新连接,以及它与已建立的连接相关联。
netfilter/iptables 的另一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求,从而只允许您想要的网络流量进入系统。
另外,netfilter/iptables 是免费的,这对于那些想要节省费用的人来说十分理想,它可以代替昂贵的防火墙解决方案。
2. iptables的结构
自iptables2.4以后,一共有4张表5链,通常简称为4表5链,结构图如下:
数据包过滤匹配流程图,如下:
表、链的作用归纳:
3.设置防火墙的2大策略:通和堵
通:默认为堵,只对能识别的进行放行
堵:默认为通,只对能误别的进行阻截
注:通和堵仅对filter表有效,若mangle表就没有任何的实际意义
本文出自 “Enjoy the process” 博客,请务必保留此出处http://1757513075.blog.51cto.com/8607255/1386403
Iptables防火墙之原理篇,布布扣,bubuko.com
Iptables防火墙之原理篇
原文:http://1757513075.blog.51cto.com/8607255/1386403
