防火牆的基本概念

2021-10-02 05:07:17 字數 3210 閱讀 6725

1、防火牆(firewall),也稱防護牆,是由check point創立者gil shwed於2023年發明並引入國際網際網路(us5606668(a)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。

2、所謂防火牆指的是乙個由軟體和硬體裝置組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使internet與intranet之間建立起乙個安全閘道器(security gateway),從而保護內部網免受非法使用者的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用閘道器4個部分組成,防火牆就是乙個位於計算機和它所連線的網路之間的軟體或硬體。該計算機流入流出的所有網路通訊和資料報均要經過此防火牆。

了解軟體防火牆

4、軟體防火牆單獨使用軟體系統來完成防火牆功能,將軟體部署在系統主機上,其安全性較硬體防火牆差,同時占用系統資源,在一定程度上影響系統效能。其一般用於單機系統或是極少數的個人計算機,很少用於計算機網路中。

了解硬體防火牆

5、把軟體防火牆嵌入在硬體中,一般的軟體安全廠商所提供的硬體防火牆便是在硬體伺服器廠商定製硬體,然後再把linux系統與自己的軟體系統嵌入,也就是說硬體防火牆是指把防火牆程式做到晶元裡面,由硬體執行這些功能,能減少cpu的負擔,使路由更穩定。

1、iptables 是與最新的 3.5 版本 linux 核心整合的 ip 資訊包過濾系統。如果 linux 系統連線到網際網路或 lan、伺服器或連線 lan 和網際網路的**伺服器, 則該系統有利於在 linux 系統上更好地控制 ip 資訊包過濾和防火牆配置。

2、防火牆在做資料報過濾決定時,有一套遵循和組成的規則,這些規則儲存在專用的資料報過濾表中,而這些表整合在 linux 核心中。在資料報過濾表中,規則被分組放在我們所謂的鏈(chain)中。而netfilter/iptables ip 資料報過濾系統是一款功能強大的工具,可用於新增、編輯和移除規則。

3、雖然 netfilter/iptables ip 資訊包過濾系統被稱為單個實體,但它實際上由兩個元件netfilter 和 iptables 組成。

4、netfilter 元件也稱為核心空間(kernelspace),是核心的一部分,由一些資訊包過濾表組成,這些表包含核心用來控制資訊包過濾處理的規則集。

6、我們首先應該知道它是linux平台最著名的防火牆工具,系統自帶的,從什麼版本的核心開始自帶的呢,好像是2.4以後。它的全稱應該是netfilter/iptables,從這個名稱上看,它其實是兩個軟體。netfilter是執行在核心之中的,對資料報進行分析處理;iptables是提供使用者的乙個配置管理工具,它可以設定一些表、表中有一些鏈條、鏈條上面有一些規則。通過iptables建立的一整個的規則體系,netfilter來對資料報進行分析處理。

7、netfilter/iptables 的最大優點是它可以配置有狀態的防火牆,這是 ipfwadm 和 ipchains 等以前的工具都無法提供的一種重要功能。什麼叫有狀態的防火牆,它很牛b嗎?當然的!舉個簡單的例子,我不想讓其它主機連線本機的任何埠,但又希望,當我主動去連線別人的時候,別人回過來的包我可以收到。這看似很合理的乙個想法,在無狀態的防火牆中是根本不可能實現的。別人對我發起乙個連線是乙個new狀態,我可以禁止它。我對別人發起乙個連線後,狀態就變成established了,我可以允許它。

三、環境準備

準備一台centos6伺服器

系統: centos6.8

記憶體:1g

cpu: 2核

首先說怎麼啟動及關閉iptables吧,其實iptables是乙個服務,完全按照服務的方式去操作它就可以了。所以設定iptables開機啟動的命令為

chkconfig iptables on
開機不啟動則為

chkconfig iptables off
想馬上啟動iptables

service iptables start
準備馬上關閉的命令

service iptables stop
關於ubuntu系統中啟動及關閉iptables,在ubuntu中由於不存在 /etc/init.d/iptales檔案,所以無法使用service等命令來啟動iptables,需要用modprobe命令。啟動iptables的命令:modprobe ip_tables;而關閉iptables(關閉命令要比啟動複雜)

iptables -f

iptables -x

iptables -z

iptables -p input accept

iptables -p output accept

iptables -p forward accept

modprobe -r ip_tables

防火牆基本概念及分類

乙個網路連線到internet,其內網可以與外網進行通訊,外網也可以與內網進行互動。但是外網可謂魚龍混雜,充滿的許多的不安全因素,那麼為了保證內網系統的安全,就需要在內網與外網之間插入乙個中介,阻擋來自外網的威脅和攻擊。那麼這個中介就叫作防火牆。防火牆是指設定在不同網路或者網路安全域之間的一系列部件...

防火牆的基本概念及iptables四表五鏈詳解

從邏輯上講,防火牆大體可以分為主機防火牆和網路防火牆 網路防火牆和主機防火牆互不影響,可以理解為網路防火牆負責外 集體 主機防火牆負責內 個人 從物理上講,防火牆可以分為硬體防火牆和軟體防火牆 入侵檢測功能 網路防火牆技術的主要功能之一就是入侵檢測功能,主要有反埠掃瞄 檢測拒絕服務工具 檢測cgi ...

Linux 防火牆概念

netfilter 是用來實現linux核心中防火牆的linux核心空間程式 段,要麼被直接編譯進核心空間中,要麼被包含在模組中。iptables 是用來管理netfilter防火牆的客戶程式。資料報的流向 1 流入資料 preforwarding forwarding postforwarding...