Linux iptables防火墻介紹：

 　　一.防火墻的概述

　　(一).防火墻的簡(jiǎn)介

　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。它通過(guò)訪問(wèn)控制機(jī)制，確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及允許哪些外部請(qǐng)求可以訪問(wèn)內(nèi)部服務(wù)。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定IP包是否可以傳進(jìn)或傳出內(nèi)部網(wǎng)。

　　防火墻通過(guò)審查經(jīng)過(guò)的每一個(gè)數(shù)據(jù)包，判斷它是否有相匹配的過(guò)濾規(guī)則，根據(jù)規(guī)則的先后順序進(jìn)行一一比較，直到滿足其中的一條規(guī)則為止，然后依據(jù)控制機(jī)制做出相應(yīng)的動(dòng)作。如果都不滿足，則將數(shù)據(jù)包丟棄，從而保護(hù)網(wǎng)絡(luò)的安全。

　　通過(guò)使用防火墻可以實(shí)現(xiàn)以下功能：

　　可以保護(hù)易受攻擊的服務(wù);

　　控制內(nèi)外網(wǎng)之間網(wǎng)絡(luò)系統(tǒng)的訪問(wèn);

　　集中管理內(nèi)網(wǎng)的安全性，降低管理成本;

　　提高網(wǎng)絡(luò)的保密性和私有性;

　　記錄網(wǎng)絡(luò)的使用狀態(tài)，為安全規(guī)劃和網(wǎng)絡(luò)維護(hù)提供依據(jù)。

　　(二).防火墻的分類

　　防火墻技術(shù)根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，但總體來(lái)講可分為包過(guò)濾防火墻和代理服務(wù)器兩種類型。

　　(三).防火墻的工作原理

　　1.包過(guò)濾防火墻工作原理

　?、?數(shù)據(jù)包從外網(wǎng)傳送到防火墻后，防火墻搶在IP層向TCP層傳送前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進(jìn)行處理。

　?、?首先與第一個(gè)過(guò)濾規(guī)則比較。 

　　③ 如果與第一個(gè)模塊相同，則對(duì)它進(jìn)行審核，判斷是否轉(zhuǎn)發(fā)該數(shù)據(jù)包，這時(shí)審核結(jié)果是轉(zhuǎn)發(fā)數(shù)據(jù)包，則將數(shù)據(jù)包發(fā)送到TCP層進(jìn)行處理，否則就將它丟棄。

　?、?如果與第一個(gè)過(guò)濾規(guī)則不同，則接著與第二個(gè)規(guī)則相比較，如果相同則對(duì)它進(jìn)行審核，過(guò)程與③相同。

　?、?如果與第二個(gè)過(guò)濾規(guī)則不同，則繼續(xù)與下一個(gè)過(guò)濾規(guī)則比較，直到與所有過(guò)濾規(guī)則比較完成。要是所有過(guò)濾規(guī)則都不滿足，就將數(shù)據(jù)包丟棄。

　　2.代理服務(wù)型防火墻工作原理

　　代理服務(wù)型防火墻是在應(yīng)用層上實(shí)現(xiàn)防火墻功能的。它能提供部分與傳輸有關(guān)的狀態(tài)，能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸?shù)男畔ⅲ€能處理和管理信息。

　　二.iptables簡(jiǎn)介

　　netfilter/iptables(下文簡(jiǎn)稱為iptables)組成Linux平臺(tái)下的包過(guò)濾防火墻，與大多數(shù)的Linux軟件一樣，這個(gè)包過(guò)濾防火墻是免費(fèi)的，它可以代替昂貴的商業(yè)防火墻解決方案，完成封包過(guò)濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT等功能。 Iptables/netfilter包過(guò)濾防火墻其實(shí)是由兩個(gè)組件構(gòu)成的，一個(gè)是netfilter，一個(gè)是iptables。

　　三.iptables基礎(chǔ)

　　(一).規(guī)則(rules)

　　規(guī)則(rules)其實(shí)就是網(wǎng)絡(luò)管理員預(yù)定義的條件，規(guī)則一般的定義為“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。規(guī)則存儲(chǔ)在內(nèi)核空間的信息包過(guò)濾表

　　中，這些規(guī)則分別指定了源地址、目的地址、傳輸協(xié)議(如TCP、UDP、ICMP)和服務(wù)類型(如HTTP、FTP和SMTP)等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，iptables就根據(jù)規(guī)則所定義的方法來(lái)處理這些數(shù)據(jù)包，如放行(accept)、拒絕(reject)和丟棄(drop)等。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。

　　(二).鏈(chains)

　　鏈(chains)是數(shù)據(jù)包傳播的路徑，每一條鏈其實(shí)就是眾多規(guī)則中的一個(gè)檢查清單，每一條鏈中可以有一條或數(shù)條規(guī)則。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，iptables就會(huì)從鏈中第一條規(guī)則開(kāi)始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件。如果滿足，系統(tǒng)就會(huì)根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包;否則iptables將繼續(xù)檢查下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則，iptables就會(huì)根據(jù)該鏈預(yù)先定。

【編輯推薦】

netfilter/iptables系統(tǒng)的安裝

圖解netfilter/iptables工作原理

Linux下Iptables防火墻的使用