linux防火墙的全面认识
简介
这次来介绍一下防火墙,尽量说的全面一些。防火墙工作在网络或者主机边缘,有起到隔离的功能。有着对进出网络或主机的数据包基于一定的规则检查,在匹配规则时由规则定义的行为进行处理的一组功能组件,基本上都是默认关闭所有通过型访问,只对允许访问的策略开放。
防火墙的分类
防火墙的大致有四种分类,保护范围划分、实现方式划分、网络协议划分、应用层防火墙
| 防火墙的分类 | 简单概述 |
| 按保护范围划分 | 主机防火墙:服务范围为当前一台主机
网络防火墙:服务范围为防火墙一侧的局域网 |
| 按实现方式划分 | 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现
软件防火墙:运行于通用硬件平台之上的防火墙的应用软件 |
| 按网络协议划分 | 网络层防火墙:OSI模型下四层,又称为包过滤防火墙
应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层 |
| 应用层防火墙(7层) | 应用层防火墙/代理服务型防火墙,也称为代理服务器(Proxy Server)
将所有跨越防火墙的网络通信链路分为两段 内外网用户的访问都是通过代理服务器上的“链接”来实现优点:在应用层对数据进行检查,比较安全。但是会增加防火墙负载 |
防火墙认知
linux防火墙是由Netfilter组件提供,Netfilter工作在内核空间,集成在linux内核当中。自linux2.4版本以后Netfilter就是linux防火墙机制,也是内核的一个子系统。模块化设计,可扩充,还提供扩展各种网络服务的底层框架,与IP协议栈无缝契合,并且允许对数据报过滤、地址转换等操作。
它的工作原理是接收数据包,数据包为mac头部 ip头部 协议/端口 7层协议(http) 真实数据 校验位
| 过程: |
| 收包>拆包>检查(没问题)>装包 |
| 收包>拆包>检查(有问题)>隔离或者丢弃 |
| 4层原理:传输层 通过协议,端口号,ip,mac控制流量 |
| 7层原理:应用层,控制真实数据,协议(7层协议:http,dns等),端口号,mac地址,ip地址 |
防火墙工具
| 防火墙工具 | 介绍 |
| iptables | 由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包 |
| firewalld | 从CentOS 7 版开始引入了新的前端管理工具
软件包: firewalld firewalld-config 管理工具: firewall-cmd 命令行工具 firewall-config 图形工作 |
| nftables | 五个勾子函数和报文流向
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、 PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则 由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上提示:从 Linux kernel 4.2 版以后,Netfilter 在prerouting 前加了一个 ingress 勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量,这个新挂钩比预路由要早,基本上是 tc 命令(流量控制工具)的替代品 |
