關(guān)于網(wǎng)絡(luò)安全的研究分析中，防火墻（Firewall）是被經(jīng)常強(qiáng)調(diào)的重點(diǎn)，它基本功能是過(guò)濾并可能阻擋本地網(wǎng)絡(luò)或者網(wǎng)絡(luò)的某個(gè)部分與Internet之間的數(shù)據(jù)傳送（數(shù)據(jù)包）。數(shù)據(jù)包其實(shí)就是一段段的數(shù)據(jù)，其中同時(shí)包括了用來(lái)把它們發(fā)送到各自的目的地所必須的信息。

你可以把數(shù)據(jù)包想象成一個(gè)郵包：數(shù)據(jù)包本身就是郵包中的數(shù)據(jù)，而信封上則是所有用來(lái)把這些信息發(fā)送到正確的機(jī)器和正確的程序中去的書(shū)信抬頭，它同時(shí)還包含著回信地址等方面的信息。在其具體的過(guò)濾工作過(guò)程中，防火墻將接管在此之前從網(wǎng)絡(luò)內(nèi)部存取Internet和從Internet存取該內(nèi)部網(wǎng)絡(luò)的路由設(shè)置。

我們的感覺(jué)是以前的防火墻專(zhuān)門(mén)用來(lái)過(guò)濾一些非法的數(shù)據(jù)包，要么為什么其中的一種類(lèi)型稱(chēng)為包過(guò)濾型防火墻呢？發(fā)展到現(xiàn)在，它的功能是日益增多，不僅能夠過(guò)濾數(shù)據(jù)包，還能夠作網(wǎng)絡(luò)地址轉(zhuǎn)換，作代理等等。Linux內(nèi)核2.4中防火墻實(shí)現(xiàn)NetFilter就是這樣的。

先來(lái)看看防火墻所處的位置，我的理解是要么它裝在一臺(tái)機(jī)器上作個(gè)人防火墻，要么裝在一臺(tái)機(jī)器上為一個(gè)局域網(wǎng)提供網(wǎng)關(guān)的功能，而后種情況則如下圖所示：

這副圖概括了裝在網(wǎng)關(guān)上的NetFilter的框架結(jié)構(gòu)圖，從圖中可以看到一個(gè)數(shù)據(jù)包可能經(jīng)過(guò)的路徑，其中用[]擴(kuò)起來(lái)的東東，稱(chēng)為檢查點(diǎn)，當(dāng)數(shù)據(jù)包到達(dá)這個(gè)點(diǎn)時(shí)，就要停下來(lái)進(jìn)行一些檢查。這里檢查點(diǎn)的名稱(chēng)使用的是iptables中名稱(chēng)，具體到NetFilter中可能就要改為那些所謂的鉤子 (Hook)函數(shù)了。

NetFilter概括起來(lái)說(shuō)，它有下面的三個(gè)基本功能：

1、數(shù)據(jù)過(guò)濾（filter表）

2、網(wǎng)絡(luò)地址轉(zhuǎn)換（nat表）

3、數(shù)據(jù)包處理（mangle表）

根據(jù)這三個(gè)功能，將上面的五個(gè)檢查點(diǎn)按功能進(jìn)行了分類(lèi)。由于每個(gè)功能在NetFilter中對(duì)應(yīng)一個(gè)表，而每個(gè)檢查點(diǎn)又有若干個(gè)匹配規(guī)則，這些規(guī)則組成一個(gè)鏈，所以就有下面的說(shuō)法：“NetFilter是表的容器，表是鏈的容器，鏈?zhǔn)且?guī)則的容器”

一個(gè)鏈(chain)其實(shí)就是眾多規(guī)則(rules)中的一個(gè)檢查清單(checklist)。每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，系統(tǒng)就會(huì)從第一條規(guī)則開(kāi)始檢查，看是否符合該規(guī)則所定義的條件: 如果滿(mǎn)足,系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿(mǎn)足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會(huì)根據(jù)該鏈預(yù)先定義的策略(policy)來(lái)處理該數(shù)據(jù)包。

而一個(gè)iptables命令基本上包含如下五部分：希望工作在哪個(gè)表上、希望使用該表的哪個(gè)鏈、進(jìn)行的操作(插入，添加，刪除，修改)、對(duì)特定規(guī)則的目標(biāo)動(dòng)作和匹配數(shù)據(jù)包條件。

基本的語(yǔ)法為：iptables -t table -Operation chain -j target match(es)（系統(tǒng)缺省的表為"filter"）

基本操作如下：

-A 在鏈尾添加一條規(guī)則

-I 插入規(guī)則

-D 刪除規(guī)則

-R 替代一條規(guī)則

-L 列出規(guī)則

基本目標(biāo)動(dòng)作，適用于所有的鏈：

ACCEPT 接收該數(shù)據(jù)包

DROP 丟棄該數(shù)據(jù)包

QUEUE 排隊(duì)該數(shù)據(jù)包到用戶(hù)空間

RETURN 返回到前面調(diào)用的鏈

foobar 用戶(hù)自定義鏈

基本匹配條件，適用于所有的鏈：

-p 指定協(xié)議(tcp/icmp/udp/...)

-s 源地址(ip address/masklen)

-d 目的地址(ip address/masklen)

-i 數(shù)據(jù)包輸入接口

-o 數(shù)據(jù)包輸出接口

匹配條件擴(kuò)展：

TCP-----匹配源端口，目的端口，及tcp標(biāo)記的任意組合，tcp選項(xiàng)等。

UPD-----匹配源端口和目的端口

ICMP----匹配ICMP類(lèi)型

MAC-----匹配接收到的數(shù)據(jù)的mac地址

MARK----匹配nfmark

OWNE----(僅僅應(yīng)用于本地產(chǎn)生的數(shù)據(jù)包)來(lái)匹配用戶(hù)ID，組ID，進(jìn)程ID及會(huì)話ID

LIMIT---匹配特定時(shí)間段內(nèi)的數(shù)據(jù)包限制。這個(gè)擴(kuò)展匹配對(duì)于限制dos攻擊數(shù)據(jù)流非常有用。

STATE---匹配特定狀態(tài)下的數(shù)據(jù)包(由連接跟蹤子系統(tǒng)來(lái)決定狀態(tài))，可能的狀態(tài)包括：

INVALID (不匹配于任何連接)

ESTABLISHED (屬于某個(gè)已經(jīng)建立的鏈接的數(shù)據(jù)包)

NEW (建立連接的數(shù)據(jù)包)

RELATED (和某個(gè)已經(jīng)建立的連接有一定相關(guān)的數(shù)據(jù)包，例如一個(gè)ICMP錯(cuò)誤消息或ftp數(shù)據(jù)連接)

TOS——匹配IP頭的TOS字段的值。

【編輯推薦】

1. Linux個(gè)人防火墻的設(shè)計(jì)與實(shí)現(xiàn)
2. 快速構(gòu)架Linux防火墻