防火墙的基础知识
2013-04-18 22:31
246 查看
防火墙技术是建立在现代信息网络的基础上的应用性安全技术,通常用于专用网络和公用网络的互联环境之中,特别是接入Internet的网络,是指隔离在本地网络与外界网络之间的一道防御系统。它是一种在internet上非常有效的安全模型,通过它隔离风险区域的访问,有效监控内部网和internet之间的活动,保证了内部网络的安全。
特征:
1.双向流通信息必须经过它。
2.只有符合安全策略授权的信息流才被允许通过。
3.系统本身具有很高的抗攻击性能。
总之,防火墙是在内部网与外部网之间实施安全防范的系统。主要功能是保护可信网络以防受到非可信网络的威胁,同时,必须允许双方合理的通信。
实现的功能:
1.提供网络安全的屏障
2.强化网络安全策略
3.监控审计网络的存取和访问
4.防止内部信息的外泄
防火墙的分类:
1.包过滤防火墙
<1>.路由设备在进行路由选择和数据转发的同时进行包过滤;
<2>.在工作站上使用专门的软件进行包过滤;
<3>.是在一种称为屏蔽路由器的路由设备上启动包过滤功能。
2.应用网关防火墙
只有网管主机才能达到所有的外部网络。而内部若想要连接外部网络,必须先登录这台网管主机
3.代理防火墙
针对每一种应用服务器进行代理服务的工作。可确保数据的完整性。
iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成 。netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。
netfilter是Linux内核中的一个通用架构。它包含表,每个表由若干个链组成,而每条链由若干个规则组成,换句话说,netfilter是表的容器,表示链的容器,而链又是规则的容器
1.表
内置有三种表:filter、nat和mangle,分别用于实现包过滤、网络地址转换和包重构的功能
(1)filter 用来过滤数据包,是iptables默认的表
包含以下的内置链
INPUT:应用于发往本机的数据包
DORWARD:应用于路由经过本地的数据包
OUTPUT:本地产生的数据包
(2)nat 进行网络地址的转换
包含以下链:
PREROUTING:修改刚刚到达防火墙时数据包的目的地址
OUTPUT:修改本地产生数据包的目的地址
POSTROUTING:修改要离开防火墙的数据包的源地址
(3)mangle:对指定的数据包进行修改
包含以下内置链:
REROUTING:在数据包进入防火墙之后路由判断之前,改变数据包
POSTROUTING:在所有路由判断之后
OUTPORT:在确定数据包的目的之前更改数据包
INPUT:数据包被路由到本地之后,在用户空间可以看到它之前改变的数据包
2.规则和链
(1)规则
是网络管理员预先设定的条件,规则定义“若数据包头符合条件,就处理数据包",规则储存在信息过滤表中,通常指定源地址、目的地址、传输协议、服务类型和对数据包的处理方法
(2)链
是数据包的传播路径,每条链可以有若干个规则,如果到达的数据包满足第一条规则,就按规则处理数据包,若不满足,执行下一条规则。
iptables的工作流程:
规则链间的匹配顺序
入站数据:PREROUTING、INPUT
出站数据:OUTPUT、POSTROUTING
转发数据:PREROUTING、FORWARD、POSTROUTING
规则链内的匹配顺序
按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外)
若在该链内找不到相匹配的规则,则按该链的默认策略处理,同时我们还可以自定义链,自定义的链必须
与默认5条链挂钩使用的
策略的方式:
“通”:对一些的地址进行阻截,而其他的地址可进
“堵”:对一部分地址准许进入,而其他的地址不可进
了解基础知识,更有助于我们对于理解和配置防火墙。本文出自 “linux” 博客,请务必保留此出处http://weihong.blog.51cto.com/6655355/1181050
特征:
1.双向流通信息必须经过它。
2.只有符合安全策略授权的信息流才被允许通过。
3.系统本身具有很高的抗攻击性能。
总之,防火墙是在内部网与外部网之间实施安全防范的系统。主要功能是保护可信网络以防受到非可信网络的威胁,同时,必须允许双方合理的通信。
实现的功能:
1.提供网络安全的屏障
2.强化网络安全策略
3.监控审计网络的存取和访问
4.防止内部信息的外泄
防火墙的分类:
1.包过滤防火墙
<1>.路由设备在进行路由选择和数据转发的同时进行包过滤;
<2>.在工作站上使用专门的软件进行包过滤;
<3>.是在一种称为屏蔽路由器的路由设备上启动包过滤功能。
2.应用网关防火墙
只有网管主机才能达到所有的外部网络。而内部若想要连接外部网络,必须先登录这台网管主机
3.代理防火墙
针对每一种应用服务器进行代理服务的工作。可确保数据的完整性。
iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成 。netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。
netfilter是Linux内核中的一个通用架构。它包含表,每个表由若干个链组成,而每条链由若干个规则组成,换句话说,netfilter是表的容器,表示链的容器,而链又是规则的容器
1.表
内置有三种表:filter、nat和mangle,分别用于实现包过滤、网络地址转换和包重构的功能
(1)filter 用来过滤数据包,是iptables默认的表
包含以下的内置链
INPUT:应用于发往本机的数据包
DORWARD:应用于路由经过本地的数据包
OUTPUT:本地产生的数据包
(2)nat 进行网络地址的转换
包含以下链:
PREROUTING:修改刚刚到达防火墙时数据包的目的地址
OUTPUT:修改本地产生数据包的目的地址
POSTROUTING:修改要离开防火墙的数据包的源地址
(3)mangle:对指定的数据包进行修改
包含以下内置链:
REROUTING:在数据包进入防火墙之后路由判断之前,改变数据包
POSTROUTING:在所有路由判断之后
OUTPORT:在确定数据包的目的之前更改数据包
INPUT:数据包被路由到本地之后,在用户空间可以看到它之前改变的数据包
2.规则和链
(1)规则
是网络管理员预先设定的条件,规则定义“若数据包头符合条件,就处理数据包",规则储存在信息过滤表中,通常指定源地址、目的地址、传输协议、服务类型和对数据包的处理方法
(2)链
是数据包的传播路径,每条链可以有若干个规则,如果到达的数据包满足第一条规则,就按规则处理数据包,若不满足,执行下一条规则。
iptables的工作流程:
规则链间的匹配顺序
入站数据:PREROUTING、INPUT
出站数据:OUTPUT、POSTROUTING
转发数据:PREROUTING、FORWARD、POSTROUTING
规则链内的匹配顺序
按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外)
若在该链内找不到相匹配的规则,则按该链的默认策略处理,同时我们还可以自定义链,自定义的链必须
与默认5条链挂钩使用的
策略的方式:
“通”:对一些的地址进行阻截,而其他的地址可进
“堵”:对一部分地址准许进入,而其他的地址不可进
了解基础知识,更有助于我们对于理解和配置防火墙。本文出自 “linux” 博客,请务必保留此出处http://weihong.blog.51cto.com/6655355/1181050
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- linux下防火墙基础知识之iptables
- 代理服务器基础知识介绍及防火墙知识普及
- 防火墙--基础知识1
- Linux-->基础知识-->linux 关闭 防火墙 配置
- iptables 防火墙基础知识
- 防火墙基础知识2 源,目的地,端口,协议的指定
- Linux防火墙基础知识
- 防火墙基础知识
- 防火墙基础知识之扩展匹配
- FireWall(防火墙基础知识2)
- FireWall(防火墙基础知识1)
- FireWall(防火墙基础知识1)
- linux防火墙 基础知识
- FireWall(防火墙基础知识2)
- 防火墙iptables基础知识
- 基础知识-如何分辨自己处于内网还是外网(公网)?是否有网络防火墙?是否支持UPnP?
- 绿盟防火墙基础知识
- 安全知识基础杀毒软件跟防火墙的区别
- 【转】Unix信号量中基础知识介绍