Linux網(wǎng)絡(luò)服務(wù)之Linux防火墻

本文核心：

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的彭陽(yáng)網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

1. 熟悉Linux防火墻的表、鏈結(jié)構(gòu)；
2. 理解數(shù)據(jù)包匹配的基本流程；
3. 掌握iptables概念和編寫其規(guī)則；

一、前言

? 在之前的各種服務(wù)配置過(guò)程中，我們?cè)趩?dòng)服務(wù)之前，對(duì)于防火墻的設(shè)置一般都是直接在命令行輸入“systemctl stop firewalld”以及“setenforce 0” 兩條命令來(lái)關(guān)閉防火墻SELinux的功能。這樣簡(jiǎn)單粗暴的操作對(duì)防護(hù)墻的認(rèn)知顯然是粗淺而不夠完善的，那么本文就針對(duì)linux防火墻作具體的講解以及相關(guān)的配置。

二、相關(guān)概念概述

2.1 何為防火墻？

? 防火墻，（英文：firewall），是通過(guò)有機(jī)結(jié)合各類用于安全管理與篩選的軟件和硬件設(shè)備，幫助計(jì)算機(jī)網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對(duì)隔絕的保護(hù)屏障，以保護(hù)用戶資料與信息安全性的一種技術(shù)。

? 簡(jiǎn)單舉例來(lái)說(shuō)，防火墻就好比家家戶戶的家門外面的防盜門，主要是起一定的保護(hù)作用。雖然這樣理解防火墻的概念有失偏頗，不過(guò)個(gè)人認(rèn)為比較方便理解一點(diǎn)。不過(guò)話說(shuō)回來(lái)，在生產(chǎn)環(huán)境中，真正意義上的防火墻是硬件防火墻。那我們先來(lái)談?wù)劮阑饓Φ姆诸悺?/p>

? 從物理層面上說(shuō)，一般分為硬件防火墻和軟件防火墻，其區(qū)別顧名思義，實(shí)際上的差別也很明顯：

• 硬件防火墻：在硬件級(jí)別實(shí)現(xiàn)部分防火墻功能，另一部分功能基于軟件實(shí)現(xiàn)，性能高，成本高。一般在數(shù)據(jù)中心大型企業(yè)公司中常用
• 軟件防火墻：應(yīng)用軟件處理邏輯運(yùn)行與通用硬件平臺(tái)之上的防火墻，性能低，成本低。一般的筆記本電腦臺(tái)式機(jī)都有防火墻，想必稍微了解使用過(guò)計(jì)算機(jī)的都知道，在下就不再贅述了。

2.2為什么需要防火墻？

? 存在的就是合理的，既然存在防火墻，有防火墻的相關(guān)技術(shù)，那么就一定有其存在的意義與價(jià)值。因此，我們需要了解其實(shí)際的功能，才能明白其真正的價(jià)值。

? 防火墻的主要功能如下：

• 病毒侵入檢測(cè)

• 網(wǎng)絡(luò)地址轉(zhuǎn)換

• 網(wǎng)絡(luò)操作的審計(jì)監(jiān)控

• 強(qiáng)化網(wǎng)絡(luò)安全服務(wù)

  ? 上述專業(yè)術(shù)語(yǔ)對(duì)于初學(xué)者而言可能實(shí)在是晦澀難懂，其實(shí)簡(jiǎn)單來(lái)說(shuō)，就是防止病毒、避免網(wǎng)絡(luò)被侵入、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)與信息、增強(qiáng)網(wǎng)絡(luò)安全。其重要性就在于其提供了記錄計(jì)算機(jī)網(wǎng)絡(luò)之中的數(shù)據(jù)信息、防止工作人員訪問(wèn)存在安全隱患的網(wǎng)站與控制不安全服務(wù)的功能，從而避免自身網(wǎng)絡(luò)出現(xiàn)故障的問(wèn)題。

  ? 那么對(duì)于防火墻也有其自身的發(fā)展，畢竟技術(shù)在不斷進(jìn)步。防火墻就是一種在內(nèi)部與外部網(wǎng)絡(luò)的中間過(guò)程中發(fā)揮作用的防御系統(tǒng)，具有安全防護(hù)的價(jià)值與作用，通過(guò)防火墻可以實(shí)現(xiàn)內(nèi)部與外部資源的有效流通，及時(shí)處理各種安全隱患問(wèn)題，進(jìn)而提升了信息數(shù)據(jù)資料的安全性。因此，因?yàn)榧夹g(shù)的發(fā)展，防火墻也有其自身的類型。

2.3防火墻的主要類型

（1）過(guò)濾型防火墻

? 過(guò)濾型防火墻是在網(wǎng)絡(luò)層與傳輸層中，可以基于數(shù)據(jù)源頭的地址以及協(xié)議類型等標(biāo)志特征進(jìn)行分析，確定是否可以通過(guò)。在符合防火墻規(guī)定標(biāo)準(zhǔn)之下，滿足安全性能以及類型才可以進(jìn)行信息的傳遞，而一些不安全的因素則會(huì)被防火墻過(guò)濾、阻擋。

（2）應(yīng)用代理類型防火墻

應(yīng)用代理防火墻主要的工作范圍就是在OSI的高層，位于應(yīng)用層之上。其主要的特征是可以完全隔離網(wǎng)絡(luò)通信流，通過(guò)特定的代理程序就可以實(shí)現(xiàn)對(duì)應(yīng)用層的監(jiān)督與控制。這兩種防火墻是應(yīng)用較為普遍的防火墻，其他一些防火墻應(yīng)用效果也較為顯著，在實(shí)際應(yīng)用中要綜合具體的需求以及狀況合理的選擇防火墻的類型，這樣才可以有效地避免防火墻的外部侵?jǐn)_等問(wèn)題的出現(xiàn)。

（3）復(fù)合型

目前應(yīng)用較為廣泛的防火墻技術(shù)當(dāng)屬?gòu)?fù)合型防火墻技術(shù)，綜合了包過(guò)濾防火墻技術(shù)以及應(yīng)用代理防火墻技術(shù)的優(yōu)點(diǎn)，譬如發(fā)過(guò)來(lái)的安全策略是包過(guò)濾策略，那么可以針對(duì)報(bào)文的報(bào)頭部分進(jìn)行訪問(wèn)控制；如果安全策略是代理策略，就可以針對(duì)報(bào)文的內(nèi)容數(shù)據(jù)進(jìn)行訪問(wèn)控制，因此復(fù)合型防火墻技術(shù)綜合了其組成部分的優(yōu)點(diǎn)，同時(shí)摒棄了兩種防火墻的原有缺點(diǎn)，大大提高了防火墻技術(shù)在應(yīng)用實(shí)踐中的靈活性和安全性。

? 以上是對(duì)防火墻的概念概述，下面主要將針對(duì)其中的軟件防火墻進(jìn)行具體介紹，即Linux防火墻。Linux系統(tǒng)的防火墻主要工作在網(wǎng)絡(luò)層，針對(duì)TCP/IP數(shù)據(jù)包實(shí)施過(guò)濾和限制，屬于典型的包過(guò)濾防火墻（或稱為網(wǎng)絡(luò)層防火墻）。Linux系統(tǒng)的防火墻體系基于內(nèi)核編碼實(shí)現(xiàn)，具有非常穩(wěn)定的性能和極高的效率，也因此獲得廣泛的應(yīng)用。

三、Linux防火墻之iptables及netfilter

3.1iptables與netfilter的聯(lián)系

? iptables其實(shí)不是真正的防火墻,我們可以把它理解成一個(gè)客戶端代理， 用戶通過(guò)iptables這個(gè)代理,將用戶的安全設(shè)定執(zhí)行到對(duì)應(yīng)的“安全框架"中,這個(gè)"安全框架"才是真正的防火墻，這個(gè)框架的名字叫netfilter。
? netfilter才是防火墻真正的安全框架(framework) ，netfilter位于內(nèi)核空間。
? iptables其實(shí)是一個(gè)命令行工具， 位于用戶空間，我們用這個(gè)工具操作真正的框架。
? netfilter/iptables (之后簡(jiǎn)稱為iptables) 組成Linux平臺(tái)下的包過(guò)濾防火墻，與大多數(shù)的Linux軟件一 樣, 這個(gè)包過(guò)濾防火墻是免費(fèi)的，它可以代替昂貴的商業(yè)防火墻解決方案,完成封包過(guò)濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 等功能。
? Netfilter是Linux操作系統(tǒng)核心層內(nèi)部的一個(gè)數(shù)據(jù)包處理模塊，它具有如下功能:
? 網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translate)、數(shù)據(jù)包內(nèi)容修改以及數(shù)據(jù)包過(guò)濾的防火墻功能

? 所以說(shuō)，雖然我們使用service iptables start啟動(dòng)iptables"服務(wù)" ,但是其實(shí)準(zhǔn)確的來(lái)說(shuō)，iptables并沒(méi)有一 個(gè)守護(hù)進(jìn)程， 所以并不能算是真正意義上的服務(wù),而應(yīng)該算是內(nèi)核提供的功能。

3.2iptables的表、鏈結(jié)構(gòu)(四表五鏈很關(guān)鍵)

首先來(lái)解釋一下什么是iptables的表，什么是iptables的鏈。

3.2.1表的概念

iptables管理者四個(gè)不同的表，其功能分別由獨(dú)立的內(nèi)核模塊實(shí)現(xiàn)。

filter表：負(fù)責(zé)過(guò)濾功能，防火墻；內(nèi)核魔抗：iptable_filter

nat表：network address translation， 網(wǎng)絡(luò)地址轉(zhuǎn)換；內(nèi)核模塊：iptable_nat

mangle表：拆解報(bào)文，做出修改，并且重新封裝的功能；iptable_mangle

raw表：關(guān)閉nat表上啟用的連接追蹤機(jī)制；iptable_raw

3.2.2鏈的概念

? 防火墻的作用在于對(duì)經(jīng)過(guò)的數(shù)據(jù)包報(bào)文匹配規(guī)則（之后會(huì)講述規(guī)則的相關(guān)概念），然后執(zhí)行對(duì)應(yīng)的動(dòng)作，當(dāng)數(shù)據(jù)包報(bào)文經(jīng)過(guò)防火墻的各個(gè)關(guān)卡時(shí)，將匹配與之對(duì)應(yīng)的規(guī)則，而其中的各個(gè)關(guān)卡上可能并非只有一條規(guī)則，那么這些規(guī)則串聯(lián)起來(lái)就形成了鏈，當(dāng)數(shù)據(jù)包經(jīng)過(guò)時(shí)，就要將鏈上（就是上面的“關(guān)卡”）的所有的規(guī)則都匹配一次，符合則執(zhí)行對(duì)應(yīng)操作。

? 其實(shí)，簡(jiǎn)單舉個(gè)例子，這個(gè)鏈就好比古時(shí)候各個(gè)城池之間的關(guān)隘一般，每個(gè)關(guān)卡都會(huì)去對(duì)應(yīng)匹配驗(yàn)證來(lái)往人的身份或者是通關(guān)文牒（就好比是上述的規(guī)則），檢查其是否允許通過(guò)的過(guò)程。

? 當(dāng)然，鏈的具體結(jié)構(gòu)如下所示：

?

下面對(duì)這五條鏈作簡(jiǎn)要概念解釋：

1. PREROUTING鏈：進(jìn)來(lái)的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略
2. INPUT鏈：外出的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略
3. FORWARD鏈：轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)應(yīng)用此規(guī)則鏈中的策略
4. OUTPUT鏈：對(duì)數(shù)據(jù)包作路由選擇前應(yīng)用此鏈中的規(guī)則(所有的數(shù)據(jù)包進(jìn)來(lái)的時(shí)候都先由這個(gè)鏈處理)
5. POSTROUTING鏈：對(duì)數(shù)據(jù)包作路由選擇后應(yīng)用此鏈中的規(guī)則(所有的數(shù)據(jù)包出來(lái)的時(shí)侯都先由這個(gè)鏈處理)

其中，INPUT、OUTPUT鏈主要作用在主機(jī)型防火墻中，即主要針對(duì)服務(wù)器本機(jī)進(jìn)行保護(hù)的防火墻，而其余的多用在“網(wǎng)網(wǎng)絡(luò)型防火墻”中，如使用Linux防火墻作為網(wǎng)關(guān)服務(wù)器，在公司內(nèi)網(wǎng)與Internet之間進(jìn)行安全。

3.2.3iptables的表和鏈的關(guān)系

? 四表五鏈的關(guān)系如下圖所示：

根據(jù)上圖，則可以理解為表中包含與之相對(duì)應(yīng)的鏈，鏈中則應(yīng)該對(duì)應(yīng)著各種匹配規(guī)則。其實(shí)我們?cè)趯?shí)際的使用過(guò)程中，往往是通過(guò)“表”作為操作入口，對(duì)規(guī)則進(jìn)行定義。

表——功能

鏈——鉤子

raw表中的規(guī)則可以被這些鏈?zhǔn)褂? PREROUTING, OUTPUT
mangle表中的規(guī)則可以被這些鏈?zhǔn)褂? PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING
nat表中的規(guī)則可以被這些鏈?zhǔn)褂? PREROUTING, OUTPUT, POSTROUTING (centos7中還有INPUT, centos6中沒(méi)有)
filter表中的規(guī)則可以被這些鏈?zhǔn)褂? INPUT, FORWARD，OUTPUT

四、數(shù)據(jù)包過(guò)濾的匹配流程

我們從規(guī)則鏈之間的順序角度來(lái)理解數(shù)據(jù)包過(guò)濾的匹配流程：

五、iptables的語(yǔ)法格式

iptables [-t 表名] 選項(xiàng) [鏈名] [條件] [-j 控制類型]

常見(jiàn)參數(shù)

-P 設(shè)置默認(rèn)策略:iptables

-P INPUT (DROP|ACCEPT)

-F 清空規(guī)則鏈

-L 查看規(guī)則鏈

-A 在規(guī)則鏈的末尾加入新規(guī)則

-I num 在規(guī)則鏈的頭部加入新規(guī)則

-D num 刪除某一條規(guī)則

-s 匹配來(lái)源地址IP/MASK，加嘆號(hào)"!"表示除這個(gè)IP外。

-d 匹配目標(biāo)地址

-i 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流入的數(shù)據(jù)

-o 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流出的數(shù)據(jù)

-p 匹配協(xié)議,如tcp,udp,icmp

--dport num 匹配目標(biāo)端口號(hào)

--sport num 匹配來(lái)源端口號(hào)

六、小結(jié)

? 本文主要介紹的是防火墻的相關(guān)知識(shí)，以及著重介紹Linux系統(tǒng)的防火墻理論知識(shí)，介紹什么是iptables及其與netfilter之間的關(guān)系。

? 其次闡述iptables的四表五鏈以及二者之間的關(guān)系，最后給出iptables的語(yǔ)法格式。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文標(biāo)題：Linux網(wǎng)絡(luò)服務(wù)之Linux防火墻-創(chuàng)新互聯(lián)
本文地址：http://weahome.cn/article/ddghii.html