防火墙

逻辑上,防火墙可以分为主机防火墙和网络防火墙。主机防火墙针对单个主机进行防护;网络防火墙往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网。

物理上,防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高;软件防火墙应用软件处理逻辑运行于通用计算平台之上的防火墙,性能低,成本低。

iptables/netfilter

iptables其实不是真正的防火墙,可以把它理解陈伟一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙, 这个框架的名字叫netfilter。

netfilter才是防火墙真正的安全框架,位于内核空间。iptables其实是一个命令行工具, 位于用户空间,我们使用iptables这个工具操作真正的框架netfilter。

netfilter/iptables组成的linux平台下的包过滤防火墙,是免费的,具有以下功能:

  • 网络地址转换(NAT, Network Address Translate)
  • 数据包内容修改
  • 数据包过滤(防火墙功能)

我们虽然可以使用service iptables start启用iptables服务,但其实准确的来说iptables并没有一个守护进程,不能算是真正意义上的服务,而算是内核提供的功能。

iptables是按照规则(rules)来办事的, rules 就是我们预定义的条件。规则一般定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中。这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包, 如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙主要工作就是添加、修改和删除这些规则。

ewctl

hubDevice Objcet true 默认hub